防注入

2011-10-20 07:468人阅读评论(0)收藏举报

Php防注入式（一）

1.函数：

Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式，将safe_mode设为on，还有就是将display_erors设为off，即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢？其实只需将提交的变量中的所有单引号、双引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。

将当前页面form表单的input信息进行过滤

//method = post ----- $_POST[]

//input 的name属性分别是edit[name]、edit[pass]、edit[pass2];

//

//$_POST['edit'];

获取表单数据$_POST['input标签的name属性']，例如 .. //name=edit[username]

//php安全 “user‘’‘’id” 过滤

//第一种办法 添加反斜杠函数addslashes()

// 取消反斜杠函数stripslashes()

//第二种办法 php.ini

//要求用户具备编辑主配置文件的权限

//magic_quotes_gpc = on|off

Php防注入式（一）

1.函数：

Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式，将safe_mode设为on，还有就是将display_erors设为off，即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢？其实只需将提交的变量中的所有单引号、双引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。

将当前页面form表单的input信息进行过滤

//method = post ----- $_POST[]

//input 的name属性分别是edit[name]、edit[pass]、edit[pass2];

//

//$_POST['edit'];

获取表单数据$_POST['input标签的name属性']，例如 .. //name=edit[username]

//php安全 “user‘’‘’id” 过滤

//第一种办法 添加反斜杠函数addslashes()

// 取消反斜杠函数stripslashes()

//第二种办法 php.ini

//要求用户具备编辑主配置文件的权限

//magic_quotes_gpc = on|off