substr是不安全的

最新推荐文章于 2022-08-27 10:31:39 发布
最新推荐文章于 2022-08-27 10:31:39 发布
阅读量118 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/mafeifan/p/3275194.html
版权

今天遇到一个问题,数据库中保存的内容通过php在页面无法显示,如果将内容换行或加个空格或者随便加点其他内容就能正常显示。

非常的诡异,显示的内容是通过截取得到的。代码非常简单

substr($pMarketInfo['description'], 0, 150) . '...';

原始内容是:

Set on a huge 809m2 block, there is plenty of room for the pets and the little ones and with side access
• Floor to ceiling tiles in the bathroom
• Built in robe to main bedroom

最后终于查明了原因。用substr截取内容,到第150个正好碰到了'•'这个特殊符号,substr是不安全的,他截取的是字节(bytes),a占一个字节,b占一个字节。汉字及有些符号会占用多字节(到底占几个跟编码有关),所以他会将'•'这个特殊符号一截两半,变成不完整的。

php解析的时候由于不认得这半个字符,造成中断,所以最终不显示。
安全的做法是使用

mb_substr($pMarketInfo['description'], 0, 150, 'utf-8') . '...';

比substr()多出一个编码参数,如果不指定会使用内部的编码。内部编码通过mb_internal_encoding()获得。

//输出:我们都
echo mb_substr('我们都是好孩子hehe',0,9);

echo "<br>";
//输出:我们都是好孩子he
echo mb_substr('我们都是好孩子hehe',0,9,'utf-8');

第一个是以三个字节为一个中文,这就是utf-8编码的特点,下面加上utf-8字符集说明,所以,是以一个字为单位来截取的。

 

注:

ANSI    中文字符2、英文字符1字节
UTF-8   中文字符3、英文字符1字节
Unicode  中文字符2、英文字符2字节

转载于:https://www.cnblogs.com/mafeifan/p/3275194.html

weixin_30755393
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java - Java开发中的安全编码问题
游戏建模零基础入门教程
04-30 1423
目录 1 - 输入校验 编码原则:针对各种语言本身的保留字符,做到 数据与代码相分离。 1.1 SQL 注入防范 严重性高,可能性低。 (1) 参数校验,拦截非法参数(推荐白名单): public String sanitizeUser(String username) { return Pattern.matches("[A-Za-z0-9_]+", username) ...
NIO学习笔记之缓冲区Buffer
u013929852的博客
06-01 1586
缓冲区的基类:BufferBuffer有四个属性: 1、capacit(容量) 2、limit(上界) 3、position(位置) 4、mark(标记)*:绝对存储不会影响缓冲区的位置属性存和取的方法:public abstract byte get( ); public abstract byte get (int index); public abstract ByteBuffe
网络安全:sql注入基础——盲注
垃圾管理员的垃圾站
08-30 952
前言: 继上文《网络安全:sql注入基础》 上篇谈到,通过发送一些符合语法的输入,执行特定的sql语句,将查询结果返回到页面。这种查询结果在页面显示的方式,我们称为“回显”。 举个实际的例子,如一登录窗口,输入用户名和密码,成功登录后。一般会在页面上显示“欢迎你,XXX”之类的话语,这个XXX就是你的用户名。而这个XXX也将作为我们注入回显的通道,通过XXX一点点抠出来我们...
SQL中substr的注意事项
emowuyi
09-29 552
相信大家对substr已经用得非常熟悉了,近日在工作中发现了一个bug,就是substr只能作为处理英文字符串的函数使用,对于汉字往往会引起缺陷。举例说明如下: 1.substr('一二三四',1,5) 2.substr('一二三四五六',1,5) 第一个的正确答案是“一二三四”,而第二的正确答案是“一二三四五”。 在程序中往往我们会使用substr函数作为一个输入语句的控...
web安全之SQL注入绕过技术(二)
Longwaer
02-24 1420
学习掌握SQL注入绕过技术,更好的用于日常渗透测试中发现风险点。
PHP截取汉字乱码问题解决方法mb_substr函数的应用
10-30
`mb_substr`函数PHP的Multibyte String扩展的一部分,用于在多字节字符集(如UTF-8)中安全地截取字符串。这个函数的主要优点在于它能够正确识别并处理不同语言中的字符,避免了乱码的产生。函数的基本语法是: `...
PHP开发不能违背的安全规则 过滤用户输入
10-28
这些数据在未经验证和清理前都是不安全的。例如,直接使用`$_POST['username']`可能引入安全风险,因为用户可以输入任意内容。应使用函数如`cleanInput`来过滤和清理输入,例如: ```php function cleanInput($...
js字符串截取函数slice、substring和substr的比较_.docx
10-09
JavaScript 字符串截取函数 slice、substring 和 substr 的比较 在 JavaScript 中,字符串截取函数有三种常用的方法:slice()、substring() 和 substr()。这三种方法都可以用来截取字符串,并返回截取的结果,但是...
Web应用安全:Mysql盲注.pptx
06-19
- **非正则匹配注入**:利用`LEFT()`, `MID()`, `SUBSTR()`等函数构造查询,结合逻辑运算符(如`AND`、`OR`)来判断数据的存在性。 - **正则匹配注入 & LIKE 注入**:使用`REGEXP`进行正则匹配,或使用`LIKE`进行...
Web应用安全:Mysql盲注文本.docx
06-17
盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 盲注分为三类: 基于布尔 SQL 盲注 基于间的 SQL 盲注 ...
【C语言】缓冲区溢出攻击的极简情形
海洋饼干叔叔
08-27 420
缓冲区(buffer)是计算机里的一块连续内存区域,其通常用于存储同一数据类型的多个实例,比如下述程序中的字符数组sActualPass。如果程序向缓冲区里填充数据没有进行恰当的容量检查,就可能发生缓冲区溢出,溢出的数据覆盖在合法数据上。...
phpsubstr漏洞,PHP substr_replace()函数中断信息泄露漏洞
weixin_35613582的博客
03-12 335
发布日期:2010-05-30更新日期:2010-06-25受影响系统:PHP PHP <= 5.3.2PHP PHP <= 5.2.13描述:--------------------------------------------------------------------------------CVE ID: CVE-2010-2190PHP是广泛使用的通用目的脚本语言,特别适...
Java StringBuffer CharSequence subSequence(int spos,int epos)方法与示例
cumt30111的博客
08-04 1256
StringBuffer类CharSequence subSequence(int spos,int epos) (StringBuffer Class CharSequence subSequence(int spos, int epos)) This method is available in package java.lang.StringBuffer.subSequence(int s...
substr使用注意
weixin_30379531的博客
11-20 83
substr使用要判断起点和长度是否超过了串本身的长度,否则会抛异常 转载于:https://www.cnblogs.com/pigerhan/p/3432909.html
java中CharSequence接口
热门推荐
人生百年几今日,今日不为真可惜。
08-12 2万+
最近在学习Android但是在学习过程中发现CharSequence这个数据类型,自己真的是不了解,在上网找了找,原来这是一个接口:在JDK1.4中,引入了CharSequence接口,实现了这个接口的类有:CharBuffer、String、StringBuffer、Strin
Spring中的Bean是线程安全的吗?
乡村鬼畜级码叼
04-30 5059
Spring中的Bean默认是单例模式的,框架并没有对bean进行多线程的封装处理 实际上大部分间Bean是无状态的(比如Dao) 所以说在某种程度上来说Bean其实是安全的 但是如果Bean是有状态的 那就需要开发人员自己来进行线程安全的保证,最简单的办法就是改变bean的作用域 把 "singleton"改为’‘protopyte’ 这样每次请求Bean就相当于是 new Bean(...
for($i=0;$i<strlen($str);$i++){ $tmp.=substr($str,$i,1) ^ substr($key,$i,1); }
最新发布
09-26
### 回答1: ...具体来说,它使用了异或运算符(^)将字符串 $str 和 $key 进行逐位异或运算,并将结果存储在 $tmp 变量中。...总结来说,上述代码是一个使用异或运算来加密字符串的简单算法,能够保护字符串的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值