防注入
Php防注入式(一)
1.函数:
Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢?其实只需将提交的变量中的所有单引号、双引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。
将当前页面form表单的input信息进行过滤
//method = post ----- $_POST[]
//input 的name属性分别是edit[name]、edit[pass]、edit[pass2];
//
//$_POST['edit'];
获取表单数据$_POST['input标签的name属性'],例如 .. //name=edit[username]
//php安全 “user‘’‘’id” 过滤
//第一种办法 添加反斜杠函数addslashes()
// 取消反斜杠函数stripslashes()
//第二种办法 php.ini
//要求用户具备编辑主配置文件的权限
//magic_quotes_gpc = on|off
Php防注入式(一)
1.函数:
Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢?其实只需将提交的变量中的所有单引号、双引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。
将当前页面form表单的input信息进行过滤
//method = post ----- $_POST[]
//input 的name属性分别是edit[name]、edit[pass]、edit[pass2];
//
//$_POST['edit'];
获取表单数据$_POST['input标签的name属性'],例如 .. //name=edit[username]
//php安全 “user‘’‘’id” 过滤
//第一种办法 添加反斜杠函数addslashes()
// 取消反斜杠函数stripslashes()
//第二种办法 php.ini
//要求用户具备编辑主配置文件的权限
//magic_quotes_gpc = on|off