[PHP] 防止sql的注入—魔术引号 递归转义 (威风的燕十八老师的视频的 课后作业) 2013-05-31...

最新推荐文章于 2023-01-13 19:10:19 发布
最新推荐文章于 2023-01-13 19:10:19 发布
阅读量228 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/jin01/archive/2013/05/31/3111118.html
版权

sql的注入与转义

addslashes函数 可以对某个变量转义。但是,$_POST 是一个数组,可能有多个单元。
有什么办法可以对数组的每一单元进行转义?

#魔术引号#
方法一:
0. 先判断魔术引号是否开启

    if(get_magic_quotes_gpc ()){
        echo '魔术引号开了';
    } else {
        echo '魔术引号没开,需要自己转义';
    }

1. ini_set('magic_quotes_gpc','on');

方法二:
0. php.ini  中 magic_quotes_gpc = on
1. 重启阿帕奇

#递归转义#

1 function abc(&$v,$k){
2     $v = addslashes($v);
3 }
4 array_walk_recursive($_GET,'abc');


合理的判断及转义

1 if(!get_magic_quotes_gpc ()){
2     function _addslashes(&$v,$k){
3         $v = addslashes($v);
4     }
5     array_walk_recursive(&$_GET,'_addslashes');
6     array_walk_recursive(&$_POST,'_addslashes');
7     array_walk_recursive(&$_COOKIE,'_addslashes');
8 }

 



 

转载于:https://www.cnblogs.com/jin01/archive/2013/05/31/3111118.html

a36241334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入知识点
m0_55772907的博客
04-27 3602
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
sql注入原理及php注入代码.doc
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来...防止SQL注入需要了解SQL注入原理和防止SQL注入的方法,使用防注入函数和代码来防止SQL注入
SQL注入攻击学习笔记(三)
m0_51313985的博客
05-08 339
宽字节注入 魔术引号是什么? 我们现在要了解一个PHP的防御函数 magic_quotes_gpc(魔术引号开关) magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有: post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。 **magic_quotes_gpc的作用:**当PHP的传参中有特殊字符就会再前面加转义字符,来做一定的过滤 单引号(’)、双引号(”)、反斜线(\)与 NU
SQL高权限注入(附实例)-跨库注入-文件读写操作-魔术引号-注入方法
最新发布
ran的博客
01-13 546
此次要进行跨库注入的目标是“Pikachu漏洞联系平台”,而上一步获取到的所有数据库里可以发现有一个数据库名称为“pikachu”,不难判断出此数据库即为跨库注入的目标的数据库。比如下面的数据库A是“root用户”,就可以对相关的网站B、网站C进行跨库注入,但是想要实现跨库注入,首先就需要知道数据库B、数据库C的数据库名称。进行上述操作时,文件路径里的斜杠最好使用“/”或者“\\”,而不是使用默认的“\”,因为在很多编程语言中“\n”代表换行的意思,可能因此会发生错误。
SQL注入(宽字节注入)---zkaq
weixin_38237216的博客
04-09 939
1.概念 1.魔术引号(magic_quotes_gpc) 概念:php的防御函数magic_quotes_gpc,函数的作用是判断解析用户提交的数据,例如包括post、get、cookie过来的数据增加转义字符“\”,已确保这些数据不会污染程序从而导致程序出现致命的错误。单引号、双引号、反斜线等字符都会被加上反斜线 作用:当php的传参有特殊字符就会在前面加上“\” 配置:魔术引号的配置开关位于php.ini文件中,默认是on。例:magic_quotes_gpc=On 2.宽字节注入原理:后端编码与
MySQL魔术引号绕过
qq_39654116的博客
01-05 1487
目录绕过魔术引号简介绕过 绕过魔术引号 简介 现在的WEB程序基本都有对SQL注入的全局过滤,运维人员配置PHP环境是一般会开启魔术引号GPC,即magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线(\)与 NUL(NULL 字符)等字符都会被加上反斜线进行转义处理。不过GPC在PHP5.4版本后就取消了,所以现在一般都用addslashes()函数来代替GPC进行过滤处理。目前用PHP开发的应用一般是MVC的框架模式进行开发,对GET、POST和COOKIE等
计算机后端-PHP视频教程. php与mysql加强- 05. php加强55-归技巧wmv.wmv
05-22
计算机后端-PHP视频教程. php与mysql加强- 05. php加强55-归技巧wmv.wmv
计算机后端-PHP视频教程. php与mysql加强- 05. php加强54-归概念wmv.wmv
05-22
计算机后端-PHP视频教程. php与mysql加强- 05. php加强54-归概念wmv.wmv
计算机后端-PHP视频教程. php与mysql加强- 05. php加强56-归练习题wmv.wmv
05-22
计算机后端-PHP视频教程. php与mysql加强- 05. php加强56-归练习题wmv.wmv
injector-php-7:PHP 7.4的归依赖注入
04-08
怎么运行的除其他外,注入器根据类构造函数签名中指定的参数类型提示来归实例化类依赖关系。 这需要使用反射。 您可能听说过“反射很慢”。 让我们弄清楚一些事情:如果做错了,任何事情都会变得“缓慢”。 反射比...
SQL注入相关防御及破解方法
向阳-Y.的博客
11-07 323
相关防御: 1.魔术引号 magic_quotes_gpc=on 如果开启了魔术引号(注意,php5.4之后的版本就没有魔术引号了),可能导致注入出现一点问题(魔术引号会自动将部分注入符号进行转义,导致注入报错) 解决方法: 采用编码或宽字节绕过,例如使用小葵转换工具,将路径转换为Hex编码 http://127.0.0.1/sqli-labs-master/Less-2/?id=-1 union select 1,2,load_file(0x443A5C5C70687073747564795F7072
宽字节注入——魔术引号的绕过
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-06 2710
宽字节注入 原理:由于魔术引号函数的存在magic_quotes_gpc(开关),会自动在’ “ \等前面加上一个\导致sql语句闭合不了,这时候我们就需要输入一些字符,让数据库实现误判,让转义字符\和我们输入的语句组成一个新的汉字来闭合语句。 靶场地址 第一题: 首先先在url栏输入’ and 1=2 %23 发现页面并没有变化,可能存在魔术引号,于是我在’前面添加一个%df重新输入代码 %df...
魔术引号、addslashes和mysql_real_escape_string的防御以及绕过
weixin_33972649的博客
06-02 367
0x00:php内置过滤函数php有内置的函数用来防御***,简单的介绍几个函数。魔术引号当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令:magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运...
注入转义
chunduo8233的博客
01-09 244
<?php // sql注入转义 /* 先下如下例子: del.php?id=3 $sql = 'delete from news where id=' . $_GET['id']; del.php?id=3 or 1; 这时 $sql = 'delete from news...
SQL注入绕过PHP引号字符转义原理及预防方法
热门推荐
MyDriverC
01-05 2万+
PHP测试代码如下 /* 注入实验:start */ $id = $_GET['id']; //建立连接 $conn = false; $conn = mysql_connect("localhost","root",""); mysql_query("set names 'gbk'"); mysql_select_db("test", $conn);  //执行 $sql
系列2:5、sql注入之高权限注入
qq_44704184的博客
03-25 3780
sql注入之高权限注入 在数据库中区分有数据库系统用户与数据库**普通用户,**二者的划分主要体现在对一些高级函数与资源表的访问权限上。直白一些就是高权限系统用户拥有整个数据库的操作权限,而普通用户只拥有部分已配置的权限。 网站在创建的时候会调用数据库链接,会区分系统用户链接与普通用户链接;当多个网站存在一个数据库的时候.root就拥有最高权限可以对多个网站进行管辖,普通用户仅拥有当前网站和配置的部分权限。所以当我们获取到普通用户权限时,我们只拥有单个数据库权限,甚至文件读写失败;取得高权限用户权限,不仅可
sql注入类型之cookie注入
hhhshd的博客
11-12 4822
sql注入类型 通过上一次的sql注入类型学习中,学习到了两个基本的注入类型数字型注入和字符型注入。 此篇文章将更加深入学习sql注入中更多的注入类型。 数字型注入 字符型注入 cookie注入 cookie注入 cookie注入学习之前,我们通过sqlilabs中我们通过Post注入和cookie注入中的第十一题与二十题的php代码进行分析 此图片为sqlilabs中第十一题Post注入php代码, 通过下面图片代码分析,在Post注入中Post是没有做任何的防护措施,所以注入可以通过Post注入
C语言第七章-归完整版资料.ppt
11-14
3. 归定义与函数:在C语言中,函数可以归调用自身,但必须有一个明确的基本情况(Base Case)作为归结束的标志,防止无限归导致程序崩溃。 4. 归程序的设计:如何分析问题并构造归函数,理解归函数的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值