addslashes()函数

最新推荐文章于 2024-04-24 20:09:10 发布
最新推荐文章于 2024-04-24 20:09:10 发布
阅读量586 收藏 3
点赞数 1
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/134986791
版权

addslashes() 函数是 PHP 中用于在字符串中的特定字符前添加反斜杠 \ 的函数。它通常用于准备字符串,以防止其中的字符被误解为具有特殊含义的字符。这个函数的主要用途是在构建 SQL 查询语句或其他需要转义特殊字符的上下文中,以防范一些安全问题,比如 SQL 注入。

<?php
$a = '"zx'; #对"
$b = "'zx"; #对'
$c = "\zx"; #对\
$d = "\\0zx"; #null(\0在ascii码中为null第一个\用来转义第二个\)
echo addslashes($a),"\n"; 
echo addslashes($b)."\n"; 
echo addslashes($c)."\n"; 
echo $d."\n";
echo addslashes($d)."\n"; 
?>
\"zx     
\'zx
\\zx
\0zx
\\0zx

从上面我们可以知道addslashes()函数对于特定字符“ ‘ \ NULL的处理

以[CISCN2019 总决赛 Day2 Web1]Easyweb举例

这里扫描目录发现*.php.bak在对页面查看源码发现image.php,尝试image.php.bak下载源码

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);
?>

这里我们发现通过str_replace对\\0 %00 \' ' 替换为空

id的闭合为’

根据上面当id=\\0,传递后为\0通过addslashes()函数变成\\0

我们的值为\\0,但是真正赋值为\0(第一个\为转义符)

addslashes()处理因为这里的id值已经有转义符了所以不会进行处理值为为\\0

str_replace()中表示匹配\0(第一个为转义)

这里会匹配\0替换为空最后的值为\在语句中就是\'转义了'

许允er
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-09 3万+
A、首先说说htmlspecialchars()和addslashes()函数吧: 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经nul...
mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_34236986的博客
02-07 672
原标题:代码审计Day13 - 特定场合下addslashes函数的绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
addslashes()
MengJing_的博客
04-17 3321
php 深入理解addslashes函数 php addslashes函数对于很多人来说并不陌生,但很大部分人只是了解皮毛,只知道addslashes函数是在特定字符前面加上反斜杠,本文章将带大家深入理解php addslashes函数的使用方法。 phpaddslashes函数的作用是在预定义的字符前面加上反斜杠,这些预定义字符包括: 单引号(') 双引号...
PHP+MYSQL多条件选一通用搜索系统功能单文件7KB
最新发布
易查薪
04-24 195
通用功能: 快速填写参数用于自己的mysql数据表搜索,ajax载入数据。
PHP的addslashes 函数详解
铁柱的博客
01-19 4816
一、前言 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;博主在接受新代码的时候,发现代码中频繁使用addslashes 这个函数,说实话,博主在之前还真没怎么用过这个函数,所以这里总结一下它的大致用法。这类安全性的函数某种意义上也代表了咱们的水平吧,能考虑到这点,并且会用就可以。 二、函数的解释 1、概念 概念请参考该博客:https://
mysql addslashes()函数_addslashes()函数绕过
weixin_35965051的博客
01-19 1602
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
addslashes
songtaiwu的博客
03-06 518
在PHP中,很多时候我们需要对写入数据库的特殊字符进行转义,因为每个数据库都有不同的特殊字符,当数据库遇到这些字符的时候,代表着不同的意 义,比如MYSQL中的单引号('),若不经转义就写入数据库,很容易导致MYSQL出错。很幸运,在PHP中,提供有专门用于转义的内置函数,它就是 addslashes(),下面说下具体用法: 语法: string addslashes(string str); /...
php中addslashes函数与sql防注入
12-18
为了防止这种情况发生,开发者通常会使用各种防御措施,其中之一就是`addslashes`函数。该函数在某些特定字符前添加反斜杠(\),以确保这些字符在插入数据库前不会被解释为SQL命令的一部分。 `addslashes`函数的...
php addslashes 函数详细分析说明
10-29
PHP 中的 addslashes 函数addslashes -- 字符串加入斜线。
php中使用addslashes函数报错问题的解决方法
10-27
首先,`addslashes()` 函数用于在字符串的特定字符前添加反斜杠,这些字符包括单引号(')、双引号(")、反斜杠(\)和 NULL 字符。这样做是为了在某些场景下避免字符串解析时的错误。例如,在插入数据库之前,对...
php的addslashes,PHP addslashes()用法及代码示例
weixin_39800387的博客
03-29 1444
addslashes()函数是PHP中的内置函数,它返回预定义字符前带有反斜杠的字符串。该参数中不包含任何指定的字符。预定义的字符是:单引号(’)双引号(“)反斜杠(\)NULL注意:addslashes()函数不同于addcslashes()函数接受要在其之前添加斜杠的指定字符,但是addslashes()函数在参数中不接受任何字符,而是在某些指定字符之前添加斜杠。用法:addslashes($...
php的addslashes,PHP addslashes()函数讲解
weixin_42144554的博客
03-29 787
PHP addslashes()函数讲解PHP addslashes() 函数实例在每个双引号(")前添加反斜杠:$str = addslashes('What does "yolo" mean?');echo($str);?>定义和用法addslashes()函数返回在预定义的字符前添加反斜杠的字符串。预定义字符是:单引号(')双引号(")反斜杠(\)NULL提示:该函数可用于为存储在数据...
PHP的addslashes() 函数addcslashes()函数
ailw92114的博客
05-13 197
一、addslashes()函数 1.addslashes()函数,是在指定的预定字符前加反斜杠。语法:addslashes(str); 2.参数是一个字符串 3.这些预定义字符有四种,是:单引号(’),双引号(”)、反斜杠(\)和NULL 4.例如: <?php $str="Who's John Adams?"; ech...
php addslashes 数组,PHP函数漏洞审计之addslashes函数-
weixin_34508682的博客
03-27 647
函数定义addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。(PHP 4, PHP 5, PHP 7)预定义字符是:单引号(’)双引号(”)反斜杠(\)NULL提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 adds...
thinkphp 页面提交参数的过滤(转义)
热门推荐
07-19 2万+
thinkphp I函数 正则表达式 参数过滤转义
mysql addslashes()函数_PHP addslashes 函数
weixin_39906192的博客
01-19 373
一、函数功能:数据库查询语句的要求,在单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符) 等特殊字符前添加反斜杠。它是stripslashes()函数的反向操作函数。二、函数语法:string addslashes($str)三、函数参数:参数描述$str要为特殊字符添加反斜杠的元素字符串。四、返回值:返回添加反斜杠完成的字符串。五、用法举例:1、基本用法:...
addslashes() 函数
冷月醉雪的博客
04-27 1497
查看更多 https://www.yuque.com/docs/share/78670f01-697b-4c38-bd12-b20a951a7a05
PHP的addslashes函数addcslashes函数的区别及详解
南海清流的博客
07-13 2071
一、addslashes是使用反斜杠引用字符串1.参数只有一个,为要转义的字符串2.可以被转义的字符为:单引号(')、双引号(")、反斜线(\)与 NUL(null字符)。3.例子...
PHP常用函数解析
09-12
addslashes函数也是用于对字符串进行转义的函数,它可以在特殊字符前面加上反斜线,以防止用户输入的字符串中包含特殊字符导致程序出错。 bin2hex函数可以将二进制数据转换成十六进制表示,这在处理二进制数据时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值