转义

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量127 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/adair123/p/9752978.html
版权
  1:case
1.1:sql注入
<form url="./" method = 'post'>
   sql注入:<input name ="escape">
  <input type="submit">
</form>  
//php
$deleteSql = "DELETE FROM article where title = '".$_POST['escape']."'";
//php 接收zzzc ' or ' 1 = 1 后就会 执行DELETE FROM article where title = 'zzzc ' or ' 1 = 1'
 
处理:mysqli_real_escape_string (此处只说和转义有关的处理,详情见《白帽子说安全》注入攻击)
DELETE FROM article where title = 'zzzc \' or \' 1 = 1'
 
1.2:xss
比如 去网站评论时用户输入
<script>
      alert('恭喜你中了500万');
     setTimeout(window.location.href="https://www.zouzhenzhong.com",1000)
</script>
网站把用户信息存入数据库又不做转义处理。
这个被评论的页面以后就弹窗跳转啦。
 
处理:富文本白名单处理。(xss更多资料看《白帽子说安全》xss)
只允许<a>,<img>,<div>这些安全标签存在。而其他标签遇到<>一律转义&lt; &gt;(htmlspecialchars($string,ENT_QUOTES )) 处理
 
1.3 : 页面特殊字符 :展示 pk html标签
让下面代码 展示绿色的 111 <p style="color:green"> 222 </p>
如 去网站评论时用户输入
<p style="color:green">
     111
     <p style="color:green">
         222
     </p>
</p>
 
处理
<p style="color:green">
    111
         &lt;p style="color:green"&gt;
             222
         &lt;/p&gt;
</p>
 
1.4:反转义
比如:我在萌芽习惯 新建了一个习惯 今日学习&明日事项,微信服务通知我的时候就变成了:今日学习&amp;
 
处理
浏览器是会把&amp;转成&,但是对方接口不对转义字符解析时,自己就得单独处理。比如:给微信服务通知推送把&amp;通过函数转成&:今日学习&明日事项;而不是今日学习&amp;明日事项
 
2:转义应用
输入
  • 输入数据需要执行sql写操作时,用mysqli_real_escape_string 对 ' " \ 转义。(<>&不在这一层转义,富文本直接存储)
  • 输入富文本对标签白名单(<script> <iframe> ...就不出现在白名单)直接存储,否则对<> 一律htmlspecialchars转义;
  • 页面需要展示代码时(程序员贴代码用),对<>&在录入代码块时就做(htmlspecialchars($string,ENT_QUOTES ))转义
输出
对方接口(非浏览器),不对字符转义时,在代码层面反转义好传过去。
 
原文:转义-邹振忠的博客
转义-邹振忠的博客

转载于:https://www.cnblogs.com/adair123/p/9752978.html

DELL6371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 转义_java的StringEscapeUtils转义与反转义
weixin_36040020的博客
02-12 1331
StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,Java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了。导入文件包名:import org.apache.commons.lang.StringEscapeUtils;StringEscape...
详解转义字符
热门推荐
分享技术
04-12 6万+
前言 与大家一起理理转义字符 啥是转义字符? 简单理解:就是可以转换字符的意思的字符。 转义字符汇总表 详解常见的转移字符 1 转移字符 “\?” 作用:在书写连续多个问号时使用,防止他们被解析成三字母词 2 转移字符 “\’” 作用:用于表示字符常量 举例: #include<stdio.h> int main() { printf("\'");//将会打印一个'(单引号) return 0; } 3转移字符 “\’” ...
转义字符
哈利路亚里路亚
08-16 1504
  转义字符是很多程序语言、数据格式和通信协议的形式文法的一部分。对于一个给定的字母表,一个转义字符的目的是开始一个字符序列,使得转义字符开头的该字符序列具有不同于该字符序列单独出现时的语义。因此转义字符开头的字符序列被叫做转义序列。   转义序列通常有两种功能。第一个是编码一个句法上的实体,如设备命令或者无法被字母表直接表示的特殊数据。第二种功能,也叫字符引用,用于表示无法在当前上下文中被键盘...
XML转义标签使用
旷野历程
03-08 1197
使用 <![CDATA[]]> 这个标记所包含的内容将表示为纯文本。比如:<![CDATA[ <= ]]>表示文本内容“<=”。 在 mybatis 配置文件中如果要用例特殊符号时需要用到此标签,如: <select id="findAll" resultType="app.user.dto.UserDTO"> <![CDATA[ SELECT * FROM user WHE..
C语言——转义字符
qq_45559559的博客
08-03 5万+
转义字符
说说转义字符 “\”
m0_47505062的博客
03-07 1万+
转义字符-escape character 注意:这里有 2 个常常被忽视、忽略、轻视的, 1.的, 就是说,只对离它的那,或进行, 2.只进行,不会进行嵌套或者递归转义(举例: 在python 看来是 而不是 ),这里看不懂就往下看,看到最后就明白什么意思了。计算机语言中,用 实现的功能 其实,就是人为规定,给多增加赋予了一个特殊的含义,本身是个符号 ,同时它在中,还具备一个含义是告诉看到它的时候,就要开始做的工作了。 c族、java、python 这些语言都要遵守这个规则,一旦看到 ,就知道 后面
转义字符大全
ronybo的博客
07-14 5439
转义字符大全
【c语言】c语言转义字符详解
m0_74195174的博客
02-18 3925
本文将详细介绍C语言中常见的转义字符及其含义,帮助读者深入了解这一重要概念,并在实际编程中更加灵活地运用。
C语言中的转义字符
a3192048的博客
05-23 2万+
C语言中的转义字符 简介 在字符集中,有一类字符具有这样的特性:当从键盘上输入这个字符时,显示器上就可以显示这个字符,即输入什么就显示什么。这类字符称为可显示字符,如a、b、c、$、+和空格符等都是可显示字符。 另一类字符却没有这种特性。它们或者在键盘上找不到对应的一个键(当然可...
C语言初阶之转义字符
立志做一个高产且细节博主
04-04 4407
转义字符(Escape character),所有的ASCII码都可以用“\”加数字(一般是8进制数字)来表示。而C语言中定义了一些字母前加""来表示常见的那些不能显示的ASCII字符,如\0,\t,\n等,就称为转义字符;在平常的代码编写中,printf函数经常会用到。转义字符虽然由两个及两个以上的字符构成,但它表示的却是单个字符简单转义字符(Simple escape sequence)转义字符含义说明\0空字符(NULL在c语言中代表“字符串结束符”\a警报符(alert)
SQL中的转义字符
12-14
在SQL(结构化查询语言)中,转义字符是一个关键概念,它允许用户在字符串中插入特殊字符,如单引号、百分号和下划线,这些字符在SQL语句中通常具有特定含义。转义字符使得这些特殊字符能够被当作普通文本处理,而...
PHP 转义使用详解
12-18
设置为on时,为我们引用的数据碰到 单引号’ 和 双引号” 以及 反斜线\ 时自动加上反斜线,帮我们自动转译符号,确保数据操作的正确运行两者的区别: magic_quotes_gpc作用范围是:WEB客户服务端;...
java清除html转义字符
09-04
在Java开发中,处理HTML内容时,有时我们需要清除HTML转义字符,以确保文本在显示或存储时不会解析为HTML标签。HTML转义字符是用于在HTML文档中表示特殊字符的字符实体,例如 `会被转义为 `<` 以防止浏览器将其...
js特殊字符转义介绍
01-19
点的转义:. ==> \\u002E 美元符号的转义:$ ==> \\u0024 乘方符号的转义:^ ==> \\u005E 左大括号的转义:{ ==> \\u007B 左方括号的转义:[ ==> \\u005B 左圆括号的转义:( ==> \\u0028 竖线的转义:| ==> \\u...
JS实现HTML标签转义及反转义
10-20
在这个例子中,`HTMLDecode`函数将已转义的文本设置为`div`元素的`innerHTML`,然后读取`innerText`或`textContent`,得到的便是反转义后的文本。 总的来说,通过上述的`HTMLEncode`和`HTMLDecode`函数,我们可以...
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 717
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
53、PHP 实现归并排序
weixin_44010641的博客
07-30 247
【代码】53、PHP 实现归并排序。
WordPress原创插件:搜索引擎抓取首图seo图片
爱酷码的博客
07-29 385
WordPress原创插件:搜索引擎抓取首图seo图片。
PHP框架详解 - symfony框架
丁爸的博客
07-28 994
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
markdown转义
05-22
Markdown转义是指在Markdown语法中,使用反斜杠"\"对特定符号进行转义,使它们不被解释为Markdown标记,而是作为普通的文本显示。常见需要转义的符号包括:\、`、*、_、{}、[]、()、#、+、-、.、!等。 例如,如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值