php 注入处理
-------------addslashes mysql_real_escape_string
需要注意的是.这个函数在调用mysql_real_escape_string这个API之前.先是判断了是否连接上了数据库
我们终于明白为什么那么多开源的程序比如Discuz用addslashes而不用mysql_real_escape_string了.
所以呢.以后也就用addslashes好了..暂时可以忘记掉mysql_real_escape_string了:)
手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)
虽然两者都会增加转义字符,但是不会写入数据库中,所有出库的时候不需要任何处理。
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}
if (!get_magic_quotes_gpc())
$this->column[$col] = mysql_real_escape_string(htmlspecialchars($v));
else
$this->column[$col] = htmlspecialchars($v);
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:
mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。
虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
---------------htmlspecialchars
将特殊字符转成 HTML 格式。
这些特殊字符包括:
& (和) 转成 &
" (双引号) 转成 "
< (小于) 转成 <
> (大于) 转成 >
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
如果没有经过此函数,在网页上就会显示TEST而用过此函数之后就会显示<a href='test'>Test</a>。注意是在网页上。
$a="hj gh'jhjk>hj<br>kh\"k&hgg";
echo addslashes($a);//hj gh\'jhjk>hj<br>kh\"k&hgg
echo "<br>";
echo htmlspecialchars($a);//hj gh'jhjk>hj<br>kh"k&hgg
页:
[1]