中文字幕日韩一区二区_国产一区二区av_国产毛片av_久久久久国产一区_色婷婷电影_国产一区二区精品

PHP魔術(shù)引號所帶來的安全問題分析

php通過提取魔術(shù)引號產(chǎn)生的“/”字符會帶來一定的安全問題,例如下面這段代碼片段:

// foo.php?xigr='ryatfunction daddslashes($string, $force = 0) {!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());if(!MAGIC_QUOTES_GPC || $force) {if(is_array($string)) {foreach($string as $key => $val) {$string[$key] = daddslashes($val, $force);}} else {$string = addslashes($string);}}return $string;}...foreach(array('_COOKIE', '_POST', '_GET') as $_request) {foreach($$_request as $_key => $_value) {$_key{0} != '_' && $$_key = daddslashes($_value);}}echo $xigr['hi'];// echo /

上面的代碼原本期望得到一個(gè)經(jīng)過daddslashes()安全處理后的數(shù)組變量$xigr['hi'],但是沒有對變量$xigr做嚴(yán)格的類型規(guī)定,當(dāng)我們提交一個(gè)字符串變量$xigr='ryat,經(jīng)過上面的處理變?yōu)?'ryat,到最后$xigr['hi']就會輸出/,如果這個(gè)變量引入到SQL語句,那么就會引起嚴(yán)重的安全問題了,對此再來看下面的代碼片段:

...if($xigr) {foreach($xigr as $k => $v) {$uids[] = $v['uid'];}$query = $db->query("SELECT uid FROM users WHERE uid IN ('".implode("','", $uids)."')");

利用上面提到的思路,通過提交foo.php?xigr[]='&xigr[][uid]=evilcode這樣的構(gòu)造形式可以很容易的突破GPC或類似的安全處理,形成SQL注射漏洞!對此應(yīng)給與足夠的重視!

php技術(shù)PHP魔術(shù)引號所帶來的安全問題分析,轉(zhuǎn)載需保留來源!

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。

主站蜘蛛池模板: 久草院线 | 精品欧美一区二区三区精品久久 | 国产亚洲精品一区二区三区 | 亚洲综合资源 | 日韩精品一区二区三区在线观看 | 久久免费观看视频 | 剑来高清在线观看 | 乱一性一乱一交一视频a∨ 色爱av | 国产一区二区三区 | 国产精品亚洲第一 | 亚洲国产精品一区二区www | 欧美久久视频 | 黄色网址免费看 | 伊人91在线 | 亚洲小视频在线播放 | 精品一区二区电影 | 黄色免费网站在线看 | 一区二区视频 | 国产成人精品午夜视频免费 | 亚洲 成人 在线 | 国产99免费视频 | 国产午夜精品一区二区三区嫩草 | 久久精品免费 | 亚洲人在线观看视频 | 波多野吉衣久久 | 国产一区二区在线视频 | 免费h在线 | 免费黄视频网站 | 欧美精品在线播放 | 毛色毛片免费看 | 亚洲 欧美 日韩在线 | 三级视频在线观看电影 | 欧美不卡 | 激情六月丁香婷婷 | 97精品国产97久久久久久免费 | 欧美日韩一区二区视频在线观看 | 中文字幕av在线一二三区 | 亚洲区一区二区 | 一区二区三区在线电影 | 亚洲精品中文字幕 | 人人看人人爽 |