目录
SQL注入之基础防御
魔术引号
魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程。 最好在编码时不要转义而在运行时根据需要而转义。
魔术引号: 在php.ini文件内找到
magic_quotes_gpc = On 开启
将其改为
magic_quotes_gpc = Off 关闭
内置函数
做数据类型的过滤
is_int()等
addslashes()
mysql_real_escape_string()
mysql_escape_string()
自定义关键字
str_replace()
其他安全防护软件 WAF .
演示之魔术引号
这里我们以sql-libs第二关的靶场来做演示。
这里我们通过load_file()这个函数去读取d盘下的d.txt文件,那我们势必会用到'号,而我们的php对这种类型的有种自带的防御手段,叫做魔术引号。