PHP魔术引号所带来的安全问题分析

(编辑：jimmy 日期: 2025/7/6 浏览：3 次 )

PHP通过提取魔术引号产生的“\”字符会带来一定的安全问题，例如下面这段代码片段:

// foo.php"htmlcode">

...
if($xigr) {
foreach($xigr as $k => $v) {
$uids[] = $v['uid'];
}
$query = $db->query("SELECT uid FROM users WHERE uid IN ('".implode("','", $uids)."')");




利用上面提到的思路,通过提交foo.php?xigr[]='&xigr[][uid]=evilcode这样的构造形式可以很容易的突破GPC或类似的安全处理,形成SQL注射漏洞！对此应给与足够的重视！

上一篇：可以保证单词完整性的PHP英文字符串截取代码分享
下一篇：PH P5.2至5.5、5.6的新增功能详解