网络编程 
首页 > 网络编程 > 浏览文章

PHP魔术引号所带来的安全问题分析

(编辑:jimmy 日期: 2024/11/20 浏览:3 次 )

PHP通过提取魔术引号产生的“\”字符会带来一定的安全问题,例如下面这段代码片段:

// foo.php"htmlcode">
...
if($xigr) {
foreach($xigr as $k => $v) {
$uids[] = $v['uid'];
}
$query = $db->query("SELECT uid FROM users WHERE uid IN ('".implode("','", $uids)."')");

利用上面提到的思路,通过提交foo.php?xigr[]='&xigr[][uid]=evilcode这样的构造形式可以很容易的突破GPC或类似的安全处理,形成SQL注射漏洞!对此应给与足够的重视!

上一篇:可以保证单词完整性的PHP英文字符串截取代码分享
下一篇:PH P5.2至5.5、5.6的新增功能详解