php 注入处理

最新推荐文章于 2024-10-28 20:43:46 发布
最新推荐文章于 2024-10-28 20:43:46 发布
阅读量107 收藏
点赞数
文章标签: PHP MySQL SQL HTML
本文探讨了使用addslashes和mysql_real_escape_string防止SQL注入的方法。解释了两者之间的差异,并强调了在不同情况下选择合适函数的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


-------------addslashes mysql_real_escape_string

需要注意的是.这个函数在调用mysql_real_escape_string这个API之前.先是判断了是否连接上了数据库

我们终于明白为什么那么多开源的程序比如Discuz用addslashes而不用mysql_real_escape_string了.

所以呢.以后也就用addslashes好了..暂时可以忘记掉mysql_real_escape_string了:)

手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)
虽然两者都会增加转义字符,但是不会写入数据库中,所有出库的时候不需要任何处理。


if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}

if (!get_magic_quotes_gpc())
        $this->column[$col] = mysql_real_escape_string(htmlspecialchars($v));
else
        $this->column[$col] = htmlspecialchars($v);

最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下


mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:
mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。


虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。

当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。



---------------htmlspecialchars
将特殊字符转成 HTML 格式。

这些特殊字符包括:

& (和) 转成 &
" (双引号) 转成 "
< (小于) 转成 &lt;
> (大于) 转成 &gt;

$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href='test'&gt;Test&lt;/a&gt;
如果没有经过此函数,在网页上就会显示TEST而用过此函数之后就会显示<a href='test'>Test</a>。注意是在网页上。


$a="hj gh'jhjk>hj<br>kh\"k&hgg";
echo addslashes($a);//hj gh\'jhjk>hj<br>kh\"k&hgg

echo "<br>";
echo htmlspecialchars($a);//hj gh'jhjk&gt;hj&lt;br&gt;kh&quot;k&amp;hgg

zhengdl126
关注
php SQL注入代码集合
10-30
通过这种方式,函数处理后的字符串插入到SQL语句中时,可以减少SQL注入的风险。函数的实现逻辑是: ```php function quote($var) { if(strlen($var)) { $var = !get_magic_quotes_gpc() ? $var : stripslashes...
php防止SQL注入详解及防范
10-26
SQL注入漏洞发生在应用程序未能正确处理用户输入的情况下,导致恶意用户能够通过输入特定的SQL命令,影响或控制数据库服务器。当应用程序未能对用户输入进行适当的过滤与转义时,就容易受到SQL注入攻击。开发者需要...
PHPsql注入处理(pdo)
gaokcl的博客
06-24 483
sqlmap使用教程 https://www.freebuf.com/sectool/164608.html https://blog.youkuaiyun.com/guiziwen/article/details/78770285 /** * @1,sql注入漏洞: * 比如:在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为: * sele...
php防止sql注入处理方法
lw545034502的博客
05-27 779
解决的办法是将php.ini的magic_quotes_gpc设置为Off 在php.ini的magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。 注:magic_quotes_gpc=On时会有问题:在Cookies里,如果有'这样的标点符号,会将这些符号全部转义为\'。 如果这个选项为o...
sql注入详解
热门推荐
渗透之路,攻防之间皆学问
05-05 25万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
PHP 代码注入漏洞
Hi~ 土拨鼠
12-15 2200
文章目录PHP 代码注入原理及成因漏洞危害相关函数和语句eval()语言结构assert()函数preg_replace()函数call_user_func()函数动态函数`$a($b)`漏洞利用 PHP 代码注入 PHP 代码注入 属于代码注入漏洞中的一种。 原理及成因 PHP 代码执行(注入)是指(Web 方面)应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。代码执行(注入)类似于SQL注入漏洞,SQLi是将SQL语句注入到数据库中执行,而代码执行则是可以把代码注入到应用中最终由服务器运行它。
php如何防注入,PHP如何防止注入
weixin_31002075的博客
03-10 1243
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:show.p...
PHP代码注入
zl52111的博客
04-16 1610
1.大致介绍: PHP代码执行注入(web方面)是指应用程序过滤不严格,用户可以通过请求将代码注入到应用中执行。代码执行类似于SQL注入漏洞。代码执行是可以把代码注入到应用中最终由服务器运行它,这样的漏洞如果没有特殊的过滤,相当于直接有了一个web后门的存在。 2.漏洞的危害: 可以通过代码执行漏洞继承web用户权限,执行任意代码。如果具有服务器没有正确配置,用户权限比较高的话,我们可以读写目标服务器的任意文件内容,甚至控制整个网站以及服务器。PHP中有很多函数和语句都会造成PHP 代码执行漏洞。 3.
PHP代码注入PHP语言常见可注入函数以及PHP代码注入漏洞的利用实例
m0_64378913的博客
06-26 8786
目录1 PHP注入概述2 相关函数与语言结构2.1 eval()函数2.2 assert()函数2.3 preg_replace()函数2.4 call_user_func()函数2.5 动态函数`$a($b)`3 总结 1 PHP注入概述 RCE概念:remote command/code execute,远程命令/代码执行。 PHP代码执行:在WEB中,PHP代码执行是指应用程序过滤不严,用户可用通过请求将代码注入到应用中执行。 PHP代码注入SQL注入比较: 其注入思想是类似的,均是构造语句绕过服务
052 php代码注入
鸡蛋炒鸡蛋
03-10 2262
文章目录一:RCE概念二:PHP代码注入原理以及成因三:漏洞的危害四:相关的函数和语句4.1:eval()4.2:assert()4.3:preg_ 一:RCE概念 RCE:远程代码执行 英文全称:remote command/code execute     二:PHP代码注入原理以及成因 PHP代码执行(注入)(web方向)是指应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。代码执行类似于SQL注入漏洞。sqli是将sql语句注入到数据库中执行,而代码执行则是可以把代码注入
php 怎么防注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 2127
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
PHP中防SQL注入方法
sheji888的专栏
10-28 1500
PHP中防止SQL注入的主要方法旨在确保用户输入被安全地处理,从而防止攻击者通过SQL注入漏洞来操纵数据库。
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
PHP+MYSQL 注入靶场
04-26
PHP+MYSQL注入靶场中,PHP文件(如`index.php`)处理用户请求并与MySQL数据库交互。如果PHP代码没有正确地转义或预处理用户输入,就可能导致SQL注入漏洞。例如,直接拼接用户输入到SQL查询中,而不是使用参数化...
php防止sql注入的方法详解
10-20
使用ORM库如Doctrine或Eloquent,可以自动处理SQL注入问题,因为这些库通常会使用预处理语句或等效的安全机制。 7. **避免动态SQL**: 尽量避免在应用程序中使用动态拼接SQL语句,而是使用静态的、预编译的查询...
FPGA实现多路高精度AD1246数据的高速采集与接收设计方案 - SPI 指南
08-08
如何利用FPGA实现多路高精度AD1246数据的高速采集与接收设计。首先简述了AD1246的特点及其在高精度数据采集中的重要性,接着阐述了FPGA在数据采集中的优势,如并行处理能力和灵活性。然后重点讨论了三个主要的设计步骤:一是接口设计,通过Verilog代码实现了SPI主控制器模块,用于与AD1246通信;二是多路数据采集处理,通过实例化多个SPI主控制器模块来并行处理多路AD1246数据;三是高速数据缓存与处理,使用FPGA内部的Block RAM作为缓存,确保数据的有效管理和快速访问。最后总结了整个设计流程,并指出实际应用中可能需要进一步优化的地方。 适合人群:从事嵌入式系统开发、FPGA设计以及数据采集系统的工程师和技术爱好者。 使用场景及目标:适用于需要高效、高精度数据采集的应用场合,如工业自动化、医疗设备、科研仪器等领域。目标是帮助读者掌握基于FPGA的多路高精度AD1246数据采集方法,提升数据采集系统的性能。 其他说明:文中提供的Verilog代码片段展示了关键部分的具体实现细节,有助于读者理解和实践。此外,还提到了未来改进的方向,如提高采样频率和优化缓存策略等。
java调用cmd命令.pdf
08-08
java调用cmd命令
Vue.js组件中实现平滑返回页面顶部动画
08-08
资源下载链接为: https://pan.quark.cn/s/d9ef5828b597 在本文中,我们将探讨如何通过 Vue.js 实现一个带有动画效果的“回到顶部”功能。Vue.js 是一款用于构建用户界面的流行 JavaScript 框架,其组件化和响应式设计让实现这种交互功能变得十分便捷。 首先,我们来分析 HTML 代码。在这个示例中,存在一个 ID 为 back-to-top 的 div 元素,其中包含两个 span 标签,分别显示“回到”和“顶部”文字。该 div 元素绑定了 Vue.js 的 @click 事件处理器 backToTop,用于处理点击事件,同时还绑定了 v-show 指令来控制按钮的显示与隐藏。v-cloak 指令的作用是在 Vue 实例渲染完成之前隐藏该元素,避免出现闪烁现象。 CSS 部分(backTop.css)主要负责样式设计。它首先清除了一些默认的边距和填充,对 html 和 body 进行了全屏布局,并设置了相对定位。.back-to-top 类则定义了“回到顶部”按钮的样式,包括其位置、圆角、阴影、填充以及悬停时背景颜色的变化。此外,与 v-cloak 相关的 CSS 确保在 Vue 实例加载过程中隐藏该元素。每个 .page 类代表一个页面,每个页面的高度设置为 400px,用于模拟多页面的滚动效果。 接下来是 JavaScript 部分(backTop.js)。在这里,我们创建了一个 Vue 实例。实例的 el 属性指定 Vue 将挂载到的 DOM 元素(#back-to-top)。data 对象中包含三个属性:backTopShow 用于控制按钮的显示状态;backTopAllow 用于防止用户快速连续点击;backSeconds 定义了回到顶部所需的时间;showPx 则规定了滚动多少像素后显示“回到顶部”按钮。 在 V
智慧社区与楼宇管理系统:集成智能照明、安防、设备管理与可视化大屏园区数据
最新发布
08-08
智慧社区系统的构建及其各个子系统的功能。首先阐述了智能照明与楼控系统的作用,如通过智能传感器实现自动调节灯光亮度,以及对楼宇内设备的集中管理和故障预警。接着讨论了web端管理系统与智慧楼宇管理系统的应用,强调其实时监控和数据分析能力,帮助管理人员高效掌握社区运行状况。然后介绍了可视化大屏园区数据的功能,使得各项数据一目了然,提升管理透明度。此外,文中提到安防系统采用多种技术保障社区安全,并建立设备台账确保设备良好运作。最后讲述了运维管理和能源管理的重要性,利用专业系统优化资源配置,降低运营成本。文章还展示了使用Axure和RP工具制作的产品原型,便于理解和推广智慧社区理念。 适合人群:社区管理者、物业工作人员、智慧城市研究者和技术开发者。 使用场景及目标:适用于新建或改造社区项目,旨在提升社区智能化水平,增强安全性,减少能耗,改善居住环境。 其他说明:智慧社区系统的建设涉及多个领域的技术和资源整合,未来将继续探索新技术以提供更多可能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值