php防注入(一)

Php防注入式(一)

   1.函数:

 Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢?其实只需将提交的变量中的所有单引号、双引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。 

 

   将当前页面form表单的input信息进行过滤

//method = post -----  $_POST[]

//input 的name属性分别是edit[name]、edit[pass]、edit[pass2];

//

//$_POST['edit'];

获取表单数据$_POST['input标签的name属性'],例如 .. //name=edit[username]

//php安全  “user‘’‘’id” 过滤

//第一种办法 添加反斜杠函数addslashes()

//          取消反斜杠函数stripslashes()

//第二种办法 php.ini

//要求用户具备编辑主配置文件的权限

//magic_quotes_gpc = on|off

阅读更多
文章标签: php input 服务器 user
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭