- 博客(3)
- 收藏
- 关注
RSS订阅原创 防注入(二)
当magic_quotes_gpc=on时,提交变量中的所有单引号、双引号、反斜线和空字符会自动转换为含有反斜线的转义字符,字符型的注入可以防范,但数字型没有用到单引号,字符型注入也可以通过char()将参数解释为整数,并返回由这些整数的ASCII码字符组成的一个字符串,也可以用16进制来代替字符。 如果是字符型就用addslashes()过滤一下,然后再过滤"%"和"_"如: $searc
2011-10-21 14:00:17
297
原创 邮件注册(一)
1 关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中: expose_php = Off 比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。 2 关闭注册全局变量 在PHP中提交的变量,包括使用POST或者GET提交的变量,
2011-10-21 13:54:39
388
原创 php防注入(一)
Php防注入式(一) 1.函数: Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的
2011-10-20 07:46:56
317
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人