用于检测XSS代码(受污染的字符串)。并且还可以用于发现sql注入漏洞和shell注入等
启用时,如果你传递一个受污染的字符串(来自$_GET, $_POST或$_COOKIE)给一些函数,会发出警告
扩展地址:https://pecl.php.net/package/taint
PECL扩展的DLL当前不可用
配置
# 是否启用,默认0
taint.enable
# 当Taint找到受污染的字符串时,Taint将报告的错误类型,默认E_WARNING
taint.error_level
函数
// 检查字符串$string是否被污染
is_tainted($string);
// 污染字符串$string,返回结果为是否污染成功的bool值,成功时原变量将变更为污染后的字符串
taint(...$string);
// 反解已污染字符串$string,返回结果为是否反解污染成功的bool值,成功时原变量将变更为反解污染后的字符串
untaint(...$string);