zl20117的博客

摘要: web的安全性一部分取决于输入过滤     Web的攻击，大部分是来自于外部，如Url上添加一些字段注入($_GET输入)，表单的提交注入(一般为$_POST)，所以在接收数据时对数据进行过滤，是很有必要的。  一.  一般php自带的过滤方法有:    1.空过滤     trim过滤字符串首尾空格$name = trim($_POST['name']);   

ThinkPHP框架安全实现分析ThinkPHP框架是国内比较流行的PHP框架之一，虽然跟国外的那些个框架没法比，但优点在于，恩，中文手册很全面。最近研究SQL注入，之前用TP框架的时候因为底层提供了安全功能，在开发过程中没怎么考虑安全问题。一、不得不说的I函数TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据，比如I('get.')、I('pos

管现在呼吁所有的程序都使用unicode编码，所有的网站都使用utf-8编码，来一个统一的国际规范。但仍然有很多，包括国内及国外（特别是非英语国家）的一些cms，仍然使用着自己国家的一套编码，比如gbk，作为自己默认的编码类型。也有一些cms为了考虑老用户，所以出了gbk和utf-8两个版本。我们就以gbk字符编码为示范，拉开帷幕。gbk是一种多字符编码，具体定义自行百度。但有一个地方尤其要注

字节注入也是在最近的项目中发现的问题，大家都知道%df’ 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\，变成了 %df\’，其中\的十六进制是 %5C ，那么现在 %df\’ =%df%5c%27，如果程序的默认字符集是GBK等宽字节字符集，则MySQL用GBK的编码时，会认为 %df%5c 是一个宽字符，也就是縗’，也就是说：%df\’ = %

0、前言最近要为了自动化审计搜集所有PHP漏洞，在整理注入的时候，发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂，网上的文章也说得不是很清楚，于是看了荣哥（lxsec）以前发的一篇http://www.91ri.org/8611.html，加上我们两个人的讨论，最终有了这一篇深入的研究成果。1、概述主要是由于使用了宽字节编码造成的。什么是字符集？计算机显示的字

ThinkPHP框架总结之安全及使用： 本片文章主要总结和介绍了使用TP过程中，加强项目安全的一些办法，具体是以例子为导向验证演示。 防止SQL注入：针对WEB应用，防止SQL注入是首要考虑的安全问题，通常的安全隐患在于查询条件使用字符串参数，而且其中一些参数依赖于客户端输入，为了有效防止SQL注入，这里建议：1、查询条件尽量使用数组方式，具体如下：数组方式：$wh