PHPのマジッククオート、マジッククォートによって引き起こされるセキュリティ問題の分析
PHP は、次のコード スニペットのように、マジック クオートによって生成された "" 文字を抽出することにより、特定のセキュリティ問題を引き起こします。
リーリー
上記のコードは当初、daddslashes() によって安全に処理された配列変数 $xigr['hi'] を取得することを想定していましたが、文字列変数 $xigr= を送信する場合、変数 $xigr の厳密な型指定はありません。 'ryat 、上記の処理の後、'ryat になり、最終的に $xigr['hi'] が出力されます。この変数が SQL ステートメントに導入されると、重大なセキュリティ問題が発生します。次のコード スニペットを見てみましょう。 :
リーリー
上記のアイデアを使用して、foo.php?xigr[]='&xigr[][uid]=evilcode などの構造フォームを送信することで、GPC または同様のセキュリティ処理を簡単に突破して SQL インジェクションの脆弱性を形成できます。この点には十分な注意が必要です。
ありがとうございます。基本的にはこの関数の機能は次のようになります。マジッククォーテーションマーク機能がオンになっている場合は、それによって追加されたバックスラッシュを削除し、addslashes() または mysql_real_escape_string() を使用してそれを処理します。状況。
渡した値に「/」が追加されていることを確認したいのですが、それが「/」の場合は、アクション内の「/」を何も置き換えてみてください。
以前は、渡した値に「\」が付加されていたため、stripslashes($_POST['ck'])を使用してそれを行っていました。
http://www.bkjia.com/PHPjc/840626.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/840626.html技術記事 PHP のマジック クオートによって引き起こされるセキュリティ問題の分析 マジック クォート PHP は、次のコード スニペットのように、マジック クオートによって生成された "" 文字を抽出することによって、特定のセキュリティ問題を引き起こします。
