- 博客(5)
- 收藏
- 关注
原创 include和require
PHP包含文件最常用的两种方式是include()和require()。include()和require() include()的语法如下: include(/path/to/filename) 和print、echo一样,include()可以省略括号,使用引号来代替。include包含的代码必须使用PHP界定符包含起来,否则是
2017-03-16 14:14:31 341
原创 htmlspecialchars() 函数过滤XSS的问题
htmlspecialchars()函数的功能如下:htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。预定义的字符是:& (和号)成为 &" (双引号)成为 "' (单引号)成为 '> (大于)成为 >它的语法如下:htmlspecialchars(string,flags,character-set,double_en
2017-03-05 14:32:31 12471 1
原创 宽字节注入
在使用PHP和Mysql时,设置“setcharacter_set_client=gbk”时可能会导致宽字节注入。宽字节注入的原理是这样子的,当提交1.php?id=1时,假如Mysql语句为“select * from user where id=’1’”,当参数使用了addslashes()、mysql_escape_string()或者GPC开关来过滤单引号(’)、双引号(”)、反斜杠(\)
2017-02-20 21:27:53 1066
原创 urldecode()二次解码引发注入
PHP中常用过滤函数如addslashes()、mysql_real_escape_string()、mysql_escape_string()或者使用魔术引号GPC开关来防止注入,原理都是给单引号(’)、双引号(”)、反斜杠(\)和NULL等特殊字符前面加上反斜杠来进行转义。 但是这些函数在遇到urldecode()函数时,就会因为二次解码引发注入。urldecode()函数是
2017-02-16 10:54:59 10535 2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人