Почему veracode обнаруживает, что вызов ini_set (‘auto_detect_line_endings’) содержит недостаток внедрения аргумента?
При сканировании кода Drupal я получил это сообщение «Этот вызов содержит недостаток вставки аргумента. Аргумент функции создается с использованием предоставленного пользователем ввода
без надлежащего разграничения или дезинфекции. «Это относится к:
$default_line_endings = TRUE;
ini_set('auto_detect_line_endings', (bool) $default_line_endings);
Я использую его в модуле Drupal.
Есть идеи, что делать, чтобы этого избежать? Мне нужно, чтобы эта переменная использовалась таким образом.
Решение
Это предупреждение системы безопасности, поскольку ваша конфигурация ini зависит от переменной.
Хотя кажется, что значение переменной на самом деле не зависит от ввода пользователя, попробуйте следующее:
$default_line_endings = TRUE;
...
...
if(!$default_line_endings)
ini_set('auto_detect_line_endings', false);
else
ini_set('auto_detect_line_endings', true);
Другие решения
Других решений пока нет …