中文字幕日韩一区二区_国产一区二区av_国产毛片av_久久久久国产一区_色婷婷电影_国产一区二区精品

PHP魔術(shù)引號所帶來的安全問題分析

php通過提取魔術(shù)引號產(chǎn)生的“/”字符會帶來一定的安全問題,例如下面這段代碼片段:

// foo.php?xigr='ryatfunction daddslashes($string, $force = 0) {!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());if(!MAGIC_QUOTES_GPC || $force) {if(is_array($string)) {foreach($string as $key => $val) {$string[$key] = daddslashes($val, $force);}} else {$string = addslashes($string);}}return $string;}...foreach(array('_COOKIE', '_POST', '_GET') as $_request) {foreach($$_request as $_key => $_value) {$_key{0} != '_' && $$_key = daddslashes($_value);}}echo $xigr['hi'];// echo /

上面的代碼原本期望得到一個(gè)經(jīng)過daddslashes()安全處理后的數(shù)組變量$xigr['hi'],但是沒有對變量$xigr做嚴(yán)格的類型規(guī)定,當(dāng)我們提交一個(gè)字符串變量$xigr='ryat,經(jīng)過上面的處理變?yōu)?'ryat,到最后$xigr['hi']就會輸出/,如果這個(gè)變量引入到SQL語句,那么就會引起嚴(yán)重的安全問題了,對此再來看下面的代碼片段:

...if($xigr) {foreach($xigr as $k => $v) {$uids[] = $v['uid'];}$query = $db->query("SELECT uid FROM users WHERE uid IN ('".implode("','", $uids)."')");

利用上面提到的思路,通過提交foo.php?xigr[]='&xigr[][uid]=evilcode這樣的構(gòu)造形式可以很容易的突破GPC或類似的安全處理,形成SQL注射漏洞!對此應(yīng)給與足夠的重視!

php技術(shù)PHP魔術(shù)引號所帶來的安全問題分析,轉(zhuǎn)載需保留來源!

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。

主站蜘蛛池模板: 日韩a| 欧美一区二区三区在线看 | 天天天操 | 日韩久久中文字幕 | 国内自拍真实伦在线观看 | 国产欧美精品一区二区三区 | 色综合一区二区 | www.久草.com| 国产精品96久久久久久 | 日韩精品成人一区二区三区视频 | 日韩黄 | 欧美精品一区在线观看 | 日韩av中文 | 天天操夜夜操 | 欧美日韩电影一区 | 韩日一区二区三区 | 精品欧美一区二区三区精品久久 | 欧美一级二级视频 | 日韩不卡在线 | 一区二区视屏 | 99视频久 | h视频免费在线观看 | 少妇黄色 | 一区二区三区视频在线观看 | 一级毛片视频免费观看 | 国产精品永久久久久久久www | 精品国产乱码久久久久久影片 | 99re| 精品国产第一区二区三区 | 亚洲精品视频一区 | 激情网五月天 | 一区二区三区视频免费观看 | 欧美黄色性生活视频 | 中日韩毛片| www.久| 一久久久 | 超级乱淫av片免费播放 | 中文字幕一区二区三区四区五区 | 日韩高清国产一区在线 | 久久亚洲国产 | 爱爱免费视频网站 |