Haohappy的专栏

Haohappyhttp://blog.youkuaiyun.com/Haohappy2004SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。看这个例子：// supposed inp

PHP与SQL注入攻击[二]Magic Quotes上文提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它

这几天太忙，继续连载哈哈，争取半个月结束。上文说到数据库自带的不安全输入过滤功能，但这样的功能不是所有数据库都有的。目前大概只有MySQL,SQLite,PostgreSQL,Sybase带有这样的功能，而包括Oracle和SQL Server在内的很多数据库都没有。鉴于这样的情况，一般开发者采用一种通用的方法来避免不安全的数据写入数据库--base64编码。这样可以避免所有可能引起问题的特殊字符

其实这个话题很早就想说说了，发现国内不少PHP站点都有XSS漏洞。今天偶然看到PHP5的一个XSS漏洞，在此小结一下。顺便提醒，使用PHP5的朋友最好打下补丁，或者升级一下。如果你不懂什么是XSS，可以看这里，或者这里（中文的也许会好懂一些）。国内不少论坛都存在跨站脚本漏洞，例如这里  有一个Google Hack+XSS的攻击例子，针对的是Discuz 4.0.0RC3。国外也很多这样的例子，甚