xss magic_quotes_gpc

最新推荐文章于 2021-03-18 14:21:15 发布
最新推荐文章于 2021-03-18 14:21:15 发布
阅读量80 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/EEEE1/p/9349514.html
版权

---恢复内容开始---

magic_quotes_gpc函数,在php5.4以上移除了,

但是很奇怪的是  我的5.6版本这边  是可以找到这个选项的。

在php.ini文件里面,默认关闭,如果将此开启,php解析会自动将POST、GET/COOKIE传过来的数据进行转义。

在php5.4的更高版本中,这个选项被去掉了,也即是php解析器不会自动为POST、GET、COOKIE过来的数据增加转义字符"\",而是把安全编码交给了用户自己,从而避免了magic_quotes_gpc未设置,用户依赖这个设置而带来了安全隐患。

 

这就需要我们在进行sql语句执行前,必须转义任何变量:

$value = mysql_real_escape_string($value);

 

除了数据库部分,程序如何加强自己自身的安全性,保护php cookie get post files  数据。

<?php 
$magic_quotes_gpc = get_magic_quotes_gpc(); 
@extract(daddslashes($_COOKIE)); 
@extract(daddslashes($_POST)); 
@extract(daddslashes($_GET)); 
if(!$magic_quotes_gpc) { 
$_FILES = daddslashes($_FILES); 
} 
//daddslashes函数,转译字符函数 
function daddslashes($string) { 
if(!is_array($string)) return addslashes($string); 
foreach($string as $key => $val) $string[$key] = daddslashes($val); 
return $string; 
} 
?>

 

 

转载于:https://www.cnblogs.com/EEEE1/p/9349514.html

weixin_30781631
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php中get_magic_quotes_gpc()函数说明
12-18
如果`magic_quotes_gpc`设置为开启,但开发者想要手动处理字符串转义,应当首先使用`get_magic_quotes_gpc()`检查当前状态。如果返回值为1,说明数据已经自动转义,这时再使用`addslashes()`就会导致双层转义,因此...
360通用XSS/SQL防注入.zip
12-28
PHPmagic_quotes_gpc功能虽然能自动对用户输入进行转义,但已被废弃,推荐使用过滤函数或预编译语句。而ASP则可以通过ADODB.Command对象进行参数化查询,防止SQL注入。 总之,XSS和SQL注入是网络安全的两大难题,...
magic_quotes_gpc php,PHP5,6,7版本中如何使用magic_quotes_gpc转义数据保证安全
weixin_39996141的博客
03-13 265
PHP5版本有这样一个函数,magic_quotes_gpc函数,作用是在php中的判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以保证这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。可是在PHP6和PHP7中已经取消了这个函数,这时候我们需要自己定义一个函数来保证数据是否需要转义。functionquotes_gp...
php magic_quotes_gpc 配置,PHP5,6,7版本中如何使用magic_quotes_gpc转义数据保证安全
weixin_30869777的博客
03-18 318
PHP5版本有这样一个函数,magic_quotes_gpc函数,作用是在php中的判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以保证这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。可是在PHP6和PHP7中已经取消了这个函数,这时候我们需要自己定义一个函数来保证数据是否需要转义。functionquotes_gp...
关于php自动转义问题,配置里magic_quotes_gpc的历史遗留问题
tofrookie的专栏
04-29 1687
今天朋友的网站又出问题了(由于刚迁到新的空间各种问题),于是就查了一番问题,发现php把数据decode 后变为了NULL,这很诡异啊,于是我在本地测,没有问题,接着我就上网查了一下,说是decode要求格式很严格 稍微不准确都会不行,于是我把数据用var_dump打了出来,发现被转义了,但是没有问题。 1.然后我做了第一种测试 我把这些数据(var_dump打印的数据,复制出来)直接de
php魔法引用,php 魔法引用magic_quotes_gpc()函数用法
weixin_32248781的博客
03-18 110
magic_quotes_gpc是用来判断我们apache是不是开启了自动转译功能了,为了让各位更好的理解魔法引用magic_quotes_gpc()函数用法下面来给各位总结与举一些例子.magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据.这两天接入百度SDK处理支付回调时碰到了签名通不过的情况,签名规则很简单,md5(transdata + appke...
php过滤全部恶意字符_.docx
10-09
首先,`get_magic_quotes_gpc()` 是一个PHP内置函数,用于检查是否启用了魔法引用(Magic Quotes)。魔法引用是一种过时的安全特性,它会自动对所有GET、POST和COOKIE数据添加反斜杠,以转义特殊字符。如果这个选项...
php简洁实现sql防注入的方法_.docx
10-09
这段代码中,`sql_injection`函数会检查`magic_quotes_gpc`配置是否开启。如果未开启,它将遍历数组或直接对非数组内容应用`addslashes()`函数。`magic_quotes_gpc`是PHP的一个过时设置,用于自动转义用户输入,但...
PHP中字符平安过滤函数用法小结_.docx
10-09
但当`magic_quotes_gpc`配置项开启时,所有GET、POST和COOKIE数据会被自动转义,此时再使用`addslashes()`会导致双重转义。开发者应检查`get_magic_quotes_gpc()`的值,以决定是否需要使用此函数。 `htmlentities()...
php magic_quotes_gpc的一点认识与分析
01-20
blankyao 说“学习的过程就是不断的发现错误,不断的改正错误”; 先看下手册上怎么说的吧! 对一般人来说看下前两段就可以了 Magic Quotes 代码: Magic Quotes is a process that automagically escapes incoming data to the PHP script. It’s preferred to code with magic quotes off and to instead escape the data at runtime, as needed. What are Magic Quotes 代码: When o
php-magic-quotes-gpc:在PHP 5.4更高版本上为旧版代码实现magic_quotes_gpc
05-14
PHP魔术引号实现 在PHP 5.4更高版本上为旧版代码实现magic_quotes_gpc 如果您要将旧版源代码迁移到上述PHP 5.4版的环境中,但是根据Magic Quotes magic_quotes_gpc SQL保护,其中包括许多易受攻击的数据库查询代码。 只需使用它就可以像以前一样在新版本PHP上平稳运行。 作为PHP的警告: 自PHP 5.3.0起,Magic Quotes功能已被弃用,自PHP 5.4.0起,该功能已被删除。 示范 print_r ( $ _GET ); MagicQuotesGpc :: init (); print_r ( $ _GET ); 使用查询?username=1' OR '1'='1访问URL后,输出为: Array ( [username] => 1' OR '1'='1 ) Array ( [username] => 1\
PHP5.2至5.6的新增功能详解
Jack huang的专栏
03-23 562
概述: php5.3不但引进了匿名函数还有更多更好多新的特性了,下面我们一起来了解一下PHP匿名函数与注意事项,具体内容如下 PHP5.2 以前:autoload, PDO 和 MySQLi, 类型约束 PHP5.2:JSON 支持 PHP5.3:弃用的功能,匿名函数,新增魔术方法,命名空间,后期静态绑定,Heredoc 和 Nowdoc, const, 三元运算符,Phar PHP5.......
get_magic_quotes_gpc 是做什么的,为何php5.4以上被移除了?
kaixinfelix的专栏
01-26 4767
本函数功能: get_magic_quotes_gpc — 获取当前 magic_quotes_gpc 的配置选项设置,这个是magic_quotes_gpcphp.ini里面的配置选项,在运行时设置将不会成功。 如果设置了这个选项,那么php解析器就会自动为POST、GET、COOKIE过来的数据增加转义字符"\"。 为什么要有这个选项? 增加转义符最主要的目的就是为了防止包含sq
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 412
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
PHP6 中get_magic_quotes_gpc()函数
Brady_never
12-08 2086
PHP版本6中 取消了get_magic_quotes_gpc()函数,首先这个函数的作用:是为了防止sql注入,当该函数打开时将所有单引号,双引号, 反斜线和空字符转会自动转为含有反斜线的溢出字符。 PHP6取消magic_quotes机制,那么就是默认转义一些特殊字符来防止sql注入。 当出现:Call to undefined function get_magic_quotes_gpc
php.ini中Magic_Quotes_Gpc开关设置
天上满是飞机
11-23 8444
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(\\),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。 但是,上面的方法只适用于magic_quotes_gpc=Off的情况。作为一
Deprecated: Function set_magic_quotes_runtime() is deprecated
梦想摆渡的专栏
07-06 2504
<br />导致这个提示的原因是在PHP5.3后此特性(set_magic_quotes_runtime())已经关闭。 <br />而且在PHP6中已经完全移除此特性。 <br />你可以注释或者删除掉出错的行,或者是在set_magic_quotes_runtime()前面加@符号。<br />也可以改配置文件为<br />;error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED<br /> <br />set_magic_quotes_runtime(0
php5.2 、5.3、5.4、5.5、5.6 各个版本升级不兼容点
热门推荐
gkingzheng的专栏
05-05 2万+
最近工作中将php5.2升级到php5.6,在升级的过程中,需要对php各个版本之间的不兼容的问题进行讨论和测试论证。依据php版本不兼容 分支说明 , 分别在多个版本之间进行了测试,分享如下: php5.3 不兼容5.2 1.在 PHP 5.3.x 的所有绑定扩展中应用了新的内部参数解析API, 当给函数传递了不兼容的参数时将返回 NULL. 但有一些例外,比如函数 get_clas
magic_quotes_gpc()函数的作用
最新发布
05-28
magic_quotes_gpc() 是一个 PHP 函数,它的作用是在读取用户输入的 GET、POST、COOKIE 数据时,自动地给特殊字符添加反斜杠,以防止 SQL 注入、XSS 攻击等安全问题。当启用 magic_quotes_gpc() 函数后,PHP 会自动地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值