防注入,转义

最新推荐文章于 2024-06-01 10:54:44 发布
最新推荐文章于 2024-06-01 10:54:44 发布
阅读量242 收藏
点赞数
文章标签: 数据库 php
原文链接:https://my.oschina.net/u/932154/blog/101123
版权 
<?php

// sql的注入与转义
/*
 先下如下例子:

del.php?id=3
$sql = 'delete from news where id=' . $_GET['id'];

del.php?id=3 or 1;
这时 $sql = 'delete from news where id=3 or 1'
这样,所有的新闻将都被删除.
*/

/* addslashes 可以对某个变量转义,
但是,$_POST是一个数组,可能有多个单元,
如果每个单元手动的addslashes来转义,工作量大. */

//封装转义函数
//我们用系统提供好一个函数,来对数组进行递归
// array_walk_recursive ,这是递归处理数组单元的函数
// 函数本身只有一个功能------递归的把数组每个单元走一遍
// 至于你怎么处理这个数组,自己写一个函数
function abc(&$v,$key){
	$v=addslashes($v);
}

array_walk_recursive(&$_GET, 'abc');

//这样就能转义 $_GET过来的地址,也可以用魔术引号防注入
//magic_quotes_gpc=On,这是魔术引号的作用---魔术引号开启时,$_GET,$_POST,$_COOKIE数据,会被系统自动转义.

/* 要想合理的转义,得先判断 魔术引号 有没有开启
如果开启了,不要再转义了,
如果没开启,再转义. */

//合理的判断
if(!get_magic_quotes_gpc()){
	function _addslashes(&$v,$k){
		if(is_string($v)){
			$v=addslashes($v);
		}
	}
	
	array_walk_recursive($_GET,'_addslashes');
	array_walk_recursive($_POST,'_addslashes');
	array_walk_recursive($_COOKIE,'_addslashes');
		
}





?>

转载于:https://my.oschina.net/u/932154/blog/101123

chunduo8233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php注入,表单提交值转义的实现详解
10-27
本篇文章是对php注入,表单提交值转义的实现进行了详细的分析介绍,需要的朋友参考下
PHPMYSQL注入转义存在潜在威胁的字符串插件.rar
07-14
3.包含SanitizeString.class.php类文件,实例化,用得到的对象根据需求分别调用PIPHP_SanitizeString方法或者PIPHP_MySQLSanitizeString,前者为将可能会被执行的如js代码转义为普通字符串,后者为数据库注入过滤...
注入的一些PHP转义函数
qq_28786023的博客
10-10 2523
本文仅介绍PHP中的一些转义函数的使用。 互联网中一切的输入都不可信,有用户可以自由输入的地方就可能存在着安全漏洞。转义函数的使用就是为了提高系统的安全性,止潜在的攻击,如SQL注入,XSS攻击等。本文介绍六个函数,分别是: addcslashes(); addslashes(); mysql_real_escape_string(); htmlspecialchars(); htmlentities(); strip_tags(); 1.addcslashes()函数及addslashes()函数 ad
php表单提交注入,php实现注入与表单提交值转义的代码
weixin_33855603的博客
03-10 136
一般在php代码中添加止sql注入的功能,主要是对表单提交过来的值做相应的处理,然后才可以把数据更新到数据库中。以下函数实现各种值的转换,代码如下:复制代码 代码示例:/*** php表单字符转义* 止sql注入* edit www.jbxue.com*/function quotes($content){//如果magic_quotes_gpc=Off,那么就开始处理if (!get_mag...
mysql sql注入转义_关于mysql:为了止(My)SQL注入,必须转义哪些字符?
weixin_29151499的博客
02-26 996
我正在使用MySQL API的功能mysql_real_escape_string()根据文档,它转义以下字符:\0\'"\Z现在,我查看了OWASP.org的ESAPI安全库,并在Python端口中包含以下代码(http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql。 py):"""Encodes ...
mysql sql注入转义_sql注入转义的php函数代码
weixin_30738065的博客
01-21 215
sql注入:正常情况下:delete.php?id=3;$sql = 'delete from news where id = '.$_GET['id'];恶意情况:delete.php?id=3 or 1;$sql = 'delete from news where id = 3 or 1'; -------如此执行后,所有的记录将都被删除应该采取相关措施。。。比如用之前先判断是否是数字等等。...
sql注释符注入御_SQL注入御绕过的一些沉淀
weixin_39620535的博客
12-20 273
一、宽字节注入1、什么是宽字节GB2312、GBK、GB18030、BIG5等这些都是常说的宽字节,实际为两字节2、宽字节注入原理御:将 ' 转换为 \'绕过:将 \ 消灭mysql在使用GBK编码的时候,会认为两个字符为一个汉字\ 编码为 %5c' 编码为%27%df%5c mysql会认为是一个汉字构造:%df' %df\' %df%5c%27 其中%df%5c将成为一个汉字专为 ...
javasql注入 转义_Java - 转义字符串以止SQL注入
weixin_39734646的博客
02-13 565
Richard..6您需要以下代码.乍一看,这可能看起来像我编写的任何旧代码.但是,我所做的是查看http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement的源代码. java.然后,我仔细查看了setString(int par...
javasql注入 转义_StringEscapeUtils的常用使用,止SQL注入及XSS注入
weixin_30774211的博客
02-26 1698
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
PHP简单预sql注入的方法
12-18
本文实例讲述了PHP简单预sql注入的方法。分享给大家供大家参考,具体如下: 出现sql注入一般都是因为语法不规范不严谨造成的,问题出现在...既然问题出现在quote上,那么只要将其转义即可(\’) php提供两个函数使用
SQL通用注入系统3.0增强版
04-02
对ASP网站SQL注入相当有效。在网上找了很久才找到。希望对有需要的人有帮忙。
[PHP] 止sql的注入—魔术引号 递归转义 (威风的燕十八老师的视频的 课后作业) 2013-05-31...
a36241334的博客
05-31 225
sql的注入转义addslashes函数 可以对某个变量转义。但是,$_POST 是一个数组,可能有多个单元。有什么办法可以对数组的每一单元进行转义?#魔术引号#方法一:0. 先判断魔术引号是否开启 if(get_magic_quotes_gpc ()){ echo '魔术引号开了'; } else { echo '魔术引号没...
数组操作系列之止js注入
gaokcl的博客
11-01 285
<?php $content = ''; $search = array ("']*?>.*?'si", // 去掉 javascript "']*?>.*?'si", // 去掉 css "']*?>'si", // 去掉 HTML 标记 "']*?>'si", // 去掉 注释标记
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1089
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
如何mysql数据导入到mongdb
codemami的博客
05-30 779
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
行列视(RCV)能否在指定时间生成报表数据?
2401_83701843的博客
05-30 147
需要注意的是,要实现指定时间生成报表数据的功能,用户需要确保行列视(RCV)系统已经正确配置并连接了相应的数据源,同时还需要根据实际需求进行报表格式和计算逻辑的设置。此外,系统的稳定性和性能也是影响报表生成的重要因素,用户需要确保系统能够正常运行并处理大量的数据。其次,关于指定时间生成报表数据的需求,用户可以通过行列视(RCV)的定时任务功能来实现。综上所述,行列视(RCV)具备在指定时间生成报表数据的能力,但具体实现方式需要根据系统的配置和使用需求来确定。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 387
简单学懂interval函数
项目更换服务器时间少8小时
最新发布
记录点滴
06-01 127
可以参考这位大佬的修正方法传送门。但是改完后记得重启项目!在项目的数据库连接加入。查看当前的linux系统时间。查看当前linux硬件时间。把硬件时间同步到系统时间。
Java事务入门:从基础概念到初步实践
Huazie
05-29 965
本文 Huazie 从 Java 事物的基础概念出发,带大家通过不同的事物管理方式进行实践,进一步加深了对 Java 事物的理解。
sql注入引号转义绕过
04-20
其中,注入引号转义绕过是一种常见的注入技巧。 在SQL语句中,引号通常用于表示字符串值。当应用程序没有对用户输入的数据进行正确的处理和转义时,攻击者可以通过在输入中插入特殊字符来绕过引号的限制,从而注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值