阿里云提示：对输入参数id未进行正确类型转义，导致整型注入的发生

最新推荐文章于 2022-08-03 13:35:13 发布

weixin_34116110

最新推荐文章于 2022-08-03 13:35:13 发布

阅读量168

点赞数

文章标签： php

本文介绍了一种常见的安全问题——整型注入，并提供了一个具体的修复案例。通过使用PHP中的stripslashes()和mysql_real_escape_string()函数来转义特殊字符，确保了数据的安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

类似以下提示：

XXX.php中，对输入参数id未进行正确类型转义，导致整型注入的发生

解决办法：

找到对应文件：$id = $_GET['id'];

增加以下标红过滤：

$id = $_GET['id']; 
$id = stripslashes($id); 
$id = mysql_real_escape_string($id); 
$_POST[‘id’] = intval($_POST[‘id’]);

更新代码后，在阿里云后台这条漏洞后面点“验证一下”，即可看到这条漏洞补上就没有了

处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \，
再使用函数mysql_real_escape_string 转义特殊字符。

http://www.yushitianxia.com/mianfei/mianfeijiaocheng/qita/53.html

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34116110

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

ABAP 百科全书的阅读目录

2007 年 ~ 2025 年，深耕 SAP 技术 18 年

12-16

3070

909 篇 ABAP 技术文章的目录

eschop漏洞修改记录

为了忘却的专栏

12-29

3295

1. 漏洞名称： ecshop注入漏洞补丁编号： 2862905 补丁文件： /api/client/includes/lib_api.php 补丁来源：云盾自研更新时间：漏洞描述： ECShop存在一个盲注漏洞，问题存在于/api/client/api.php文件中，提交特制的恶意POST请求可进行SQL注入攻击，可获得敏感信息或操作数据库。【注意：该补丁为云

参与评论您还未登录，请先登录后发表或查看评论

SQL注入代码分析

weixin_30650039的博客

05-03

188

仔细看了下dvwa里面的sql注入，对此加以分析，为什么会导致该问题。以下代码是安全性最低的，且看下： <?php if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_...

通过DVWA学习SQL注入漏洞

Mi1k7ea

02-21

2万+

此篇文章作为本人的学习小笔记，有任何不足之处望各位大牛多多指教~ SQL注入漏洞作为OWASP TOP10中重要的一部分，可见其安全性的危害有多大。简单地说，SQL注入就是通过构建特殊的具有SQL语法的语句，绕到数据库中进而执行相应的操作的漏洞。关于SQL注入更多的描述就不再多说了，网上资料也很多，下面就直接上笔记。基于报错的检测方法：各种符号以及组合： ‘ “ ( %

代码审计 PHP代码理解.

网络安全领域___专研者.

03-21

4702

PHP语言的概括：（1）PHP 是可以创建动态交互性站点的强有力的服务器端的脚本语言。（2）PHP可以做很多东西，特别是web网站开发，也可以使用的非常广泛。能够快速，灵活，实用使得PHP语言可以更好的开发任何网站。（3）PHP 是一种 HTML 嵌入式的脚本语言。php文件以.php结尾。PHP语言的很多语法来自 C，Java 和 Perl，并具有几个 PHP 独有的特点。PHP语言的主要目标是让 Web 开发程序员可以快速的书写动态生成的网页。

ecshop漏洞修复整理

热门推荐

龚清林的博客

06-01

6万+

1、ECShop存在一个盲注漏洞，问题存在于/api/client/api.php文件中，提交特制的恶意POST请求可进行SQL注入攻击，可获得敏感信息或操作数据库。路径：/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改： function API_UserLogin($post) { /* SQL注入过滤 ...

sql注入详解

m0_73109590的博客

08-03

1123

SQL注入（SQL Injection）是一种常见的Web安全漏洞，主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。从而导致数据库受损（被脱库、被删除、甚至整个服务器权限陷）。...

常见漏洞知识库（原理/场景/修复）

lefooter的博客

04-30

6434

SQL 注入 0x01 漏洞描述 SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验（类型、长度、业务参数合法性等），同时没有对用户输入数据进行有效地特殊字符过滤，使得用户的输入直接带入数据库执行，超出了SQL语句原来设计的预期结果，导致了SQL注入漏洞。 0x02 常见应用场景 SQL注入漏洞可能出现在一切与数据库交互的地方，比如常见的查询用户信息、查询订单信...

【电子商务平台数据库设计基础】：从零开始构建高效数据库架构

!... # 摘要随着电子商务平台的快速发展，数据库设计的基础理论与实践技巧显得尤为重要。本文首先概述了电子商务平台数据库设计的基础知识，接着深入探讨了关系型数据库的原理、核心组件以及数据库的规范化和设计原则...

PHP中addslashes()和stripslashes()实现字符串转义和还原用法实例

10-23

主要介绍了PHP中addslashes()和stripslashes()实现字符串转义和还原用法,结合实例形式较为详细的分析了addslashes()和stripslashes()函数的功能,定义及具体使用技巧,并附带说明了addslashes()与addcslashes()函数的区别,需要的朋友可以参考下

ecshop常见漏洞

10-30

ecshop存在一个盲注漏洞，问题存在于/api/client/api.php文件中，提交特制的恶意POST请求可进行SQL注入攻击，可获得敏感信息或操作数据库；跨站攻击； ECSHOP的配送地址页面网页没有验证地区参数的有效性，存在sql注入漏洞；ecshop的后台编辑文件/admin/affiliate_ck.php中，对输入参数auid未进行正确类型转义，导致整型注入的发生；ecshop的后台编辑文件/admin/shophelp.php中 shopinfo.php ，对输入参数$_POST['id']未进行正确类型转义，导致整型注入的发生；ecshop的/admin/comment_manage.php中，对输入参数sort_by、sort_order未进行严格过滤，导致SQL注入；ECShop存在一个盲注漏洞，问题存在于/api/client/api.php文件中，提交特制的恶意POST请求可进行SQL注入攻击，可获得敏感信息或操作数据库； ECSHOP支付插件存在SQL注入漏洞，此漏洞存在于/includes/modules/payment/alipay.php文件中，该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换，黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据，且不需要注册登入；ecshop的/includes/lib_insert.php文件中，对输入参数未进行正确类型转义，导致整型注入的发生。

服务器安全－阿里自研补丁列表整理

日拱一卒无有尽，功不唐捐终入海

08-29

9431

当前服务器安全补丁管理功能可检测和修复的漏洞如下（若有新的补丁将更新在这里）：补丁编号路径漏洞名称漏洞描述补丁研发时间 159 /src/library/ubb/PwSimpleUbbCode.php phpwind ubb标签属性xss

解决问题（1）：成功解决Keil5在多字节的目标代码页中，没有此 Unicode 字符可以映射到的字符

weixin_44903006的博客

09-16

2万+

Keil5中编辑C++代码，出现如下错误：在多字节的目标代码页中，没有此 Unicode 字符可以映射到的字符。主要的问题是“参数值”未进行中文转义造成的，发现代码存储的路径中有中文字符，因此猜测是路径下有中文造成的，所以将文件名修改为全英文的字符，再去打开代码发现出现的红叉全部消失了。 Tis:代码的编辑过程中不要出现中文，保存路径也是。 ...

SQL注入漏洞原理详解以及常见框架的SQL注入防止

日拱一卒无有尽，功不唐捐终入海

03-06

6781

SQL注入漏洞是指由于应用程序未能正确过滤用户提交的数据，在用户提交包含SQL语句的内容时，会被应用程序接收并在数据库上执行，从而达到非法操作数据库的目的。这种攻击手段被称为SQL注入攻击。

MYSQL注入详解：未过滤字符导致的安全威胁

2. **输入验证和转义**：对用户输入进行适当的验证和转义，确保它们符合预期的格式，不包含SQL特殊字符。 3. **最小权限原则**：为数据库用户分配最低权限，仅限于他们执行任务所需的权限，减少潜在破坏。 4. **错误...