thinkphp转义Bug的修改和调整(转)

最新推荐文章于 2021-07-15 00:16:25 发布
最新推荐文章于 2021-07-15 00:16:25 发布
阅读量1.6k 收藏
点赞数
分类专栏: php 文章标签: string mysql 服务器 测试

原文:http://hi.baidu.com/china99788/blog/item/28a9338b33bb0d6e9f2fb44c.html


在thinkphp目录下,依次打开 lib -- think -- db -- driver目录,并在dbmysql.class.php 这个文件中把 escape_string 函数的函数修改成:

   

原函数里只有一行:

‍return mysql_escape_string($str);

如果‍服务器开了转义,那么就经过thinkphp再次转义后,就会在程序中产生双重转义的Bug!


(为了尽快给那些发现同样问题的朋友们一个提示,所以我没有在以前发现问题的服务器上逐一测试。如有问题,请朋友们原谅并提出宝贵意见!)

xiaoxiaorenky
关注
专栏目录
thinkphp6 加载第三方类库_thinkphp应用怎么通过composer加载第三方库
weixin_39635432的博客
12-23 1476
展开全部直接在入口文件中包含composer的autoload脚本Composer是PHP的一个包依赖管理工具,类似Ruby中的32313133353236313431303231363533e4b893e5b19e31333361316565RubyGems或者Node中的NPM,它并非官方,但现在已经非常流行。此文并不介绍如何使用Composer,而是关注于它的autoload的内容吧。举例来...
pgsql thinkphp5_TP5 连接 postgres 问题
weixin_39983563的博客
02-02 483
问题一: 配置修改为pgsql,提示could not find driver1. tp5 下database 配置'DB_TYPE' => 'pgsql',2. 打开php扩展 - 》 开启php_pgsql.dll ,php_pdo_pgsql.dll在 wampserver xampp下PHP使用PDO 支持postgresqlhttp://blog.csdn.net/yageea...
关于thinkphp入库出现两次反斜线转义thinkphp数据库类的转义
言会咸
08-12 8278
这种情况是在 magic_quotes_gpc 开启的情况下发生的。原因是thinkphp在入库的时候没有判断 magic_quotes_gpc 是否开启,不管三七二十一地进行了转义处理。 解决办法是在入口文件增加如下代码则可: if (!get_magic_quotes_gpc()) { function addslashes_deep($value) { $v
thinkphp html转义字符,thinkphp 字符转义问题
weixin_29028611的博客
06-02 660
ArcGIS Engine 开发 (一)GIS应用基本界面的搭建和控件的关联,处理TOCC控件关联失败问题,布局视图(axPageLayout)和地图(axMapcontrol)关联ArcGIS Engine 基于C#的开发(一)基本界面的搭建 * 无法嵌入互操作类型的问题的解决 *COM技术中的IUnknown接口和QueryInterface (二)打开,保存,另存为功能 (三)鹰眼......
解决ThinkPHP升级5.1后输出字符被转义的问题
jiamengying0522的博客
12-13 1122
ThinkPHP在升级到5.1.7后,在模版输出上默认使用了htmlentities函数,和之前版本中默认采用的htmlspecialchars函数有区别。 为了避免出现XSS安全问题,默认的变量输出都会使用htmlentities方法进行转义输出。如果不想被转义,那只需要在变量后面加上raw方法即可,如:{$param|raw} 你还可以设置默认的过滤方法,在配置文件template.php...
php输出 被译 怎么破,解决ThinkPHP升级5.1后输出字符被转义的问题
weixin_34900470的博客
03-27 630
ThinkPHP在升级到5.1.7后,在模版输出上默认使用了htmlentities函数,和之前版本中默认采用的htmlspecialchars函数有区别。最近给博客升级框架,由于从5.0过渡到5.1要修改的地方还蛮多的,加上之前一些代码在实际运行中略显低效,索性就把后端重构一下。把一些关键部位调整到位后刷新页面,发现原先用于输出备案信息的地方被转义输出成字符串了,印象中TP模版输出默认是使用ht...
如何将java中的反斜线替换为"/"
网站开发初中级代码参考-转载
02-22 92
在windows下使用request.getRealPath()获得的路径是反斜线,如何将反斜线替换为"/"呢?有人想到用 replaceAll("\\","/"),但这样是会抛出异常的,,正确的方式是: public static void main(String[] args){String s="c:\\1\\2";s=s.replaceAll("\\\\", "/");Sy
ThinkPHP提交表单时默认自动转义的解决方法
10-25
但这种自动转义有时候会与服务器的其他安全设置发生冲突,比如服务器可能已经开启了magic quotes,这样ThinkPHP的自动转义服务器转义可能会导致“双重转义”的问题,进而产生错误或bug。magic quotes是一种PHP...
thinkphp 需要注意的一些漏洞(可能已经修复,此处仅是学习)
houzhyan-博客
04-11 3665
部分内容摘自网络。看完之后受益匪浅,和大家分享 之前发过关于thinkphp的一个ip获取漏洞,官方木有反应 http://www.thinkphp.cn/bug/2756.html 于是就考虑到官方的关于web中的sql注入过滤的问题是否也是非常马虎。 看来几篇文章,发现确实这个thinkphp 框架写的不怎么样。对于安全问题视而不见。以下部分内容摘自网络以及本人测试 测试:下载thi
thinkphp数据库类的转义
xxhysj的专栏
11-06 1050
一般在thinkphp magic_quotes_gpc 开启的情况下发生的。原因是thinkphp在入库的时候没有判断 magic_quotes_gpc 是否开启,不管三七二十一地进行了转义处理。 解决办法是在入口文件增加如下代码则可: if (!get_magic_quotes_gpc()) { function addslashes_deep($value) {
thinkphp3.2提交表单url 字段&符号被转义问题处理
Cyangdaowei的博客
07-15 1141
线上故障客户接口不通了,我日志中看了一下请求接口的地址,url 中的&符号变成了& 这个地址只有OA管理系统中的提交表单处能修改,我通过排查是填写的地址入库的时候被了 解决方法是:在表单展示前查询url的时候用 htmlspecialchars_decode处理一下; 在入库时用htmlspecialchars_decode处理一下 完美解决 ...
linux常用命令详解(7)
zhangshaohuas的博客
10-11 1832
目录正则表达式一:cut(切割)二:sort(排序)三:uniq(去重)四:wc(计数)五:find()六:grep()七:sed()八:awk() 正则表达式 一:cut(切割) 二:sort(排序) 三:uniq(去重) 四:wc(计数) 五:find() 六:grep() 七:sed() 八:awk() ...
php绕过分号(;)和尖括号(<>)转义
逗比大师的博客
03-24 2338
实战中发现可写文件且内容可控,尝试写入phpinfo,发现分号(;)和尖括号(<>)被转义,如:尝试写入 <?php phpinfo();?> 实际得到: \<?php phpinfo()\;?\> 分析分号(;)和尖括号(<>)两处转义,其中第一个尖括号转义不属于php内部,不起到转义作用,只是一个普通文本,不需要处理,第二个尖括号可以不...
使用ThinkPHP时,双引号导致插入数据库经过转义的处理
leeyisoft的专栏
12-15 6914
ThinkPHP中提交表单插入数据的时候,单引号和双引号是会被自动转义的,就是会自动的加上反斜线, 但是我不想给单引号和双引号加上反斜线, 如:hds"gh"j'g'h 会被自动转义为:hds\"gh\"j\'g\'h 请注意需要的是取消这个转义的功能,而不是使用stripslashes() 函数删除这些反斜杠,即不需要官方的这个自动转义的功能。 所以在网上搜索到解
tp5 在WINDWOS环境下上传图片、文件的路径都是反斜杠(\)形式保存到数据的,需要成斜杠(/)
fzxyxf1314的博客
03-19 3559
tp5 在WINDWOS环境下上传图片、文件的路径都是反斜杠(\)形式保存到数据的,需要成斜杠(/) 比如: 20180914\a6587063b2abbda94058120dbf1c7dad.png 要为:20180914/a6587063b2abbda94058120dbf1c7dad.png 替换语句: $getSaveName=str_replace("\\","/",$...
thinkphpbug
最新发布
02-07
但是,就像其他软件一样,thinkphp 也可能存在 bug。这些 bug 可能是由于软件设计错误或编码错误导致的。 如果您发现了 thinkphpbug,应该尽快报告给开发人员,以便及时修复。您可以在 thinkphp 的官方网站或 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值