php addslashes及其他清除空格的方法是不安全的


Posted in PHP onJanuary 25, 2012

清除空格的方法是不安全的,部分原因是因为字符中的空格非常多,例如 "addslashes的问题在 于黑客 可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会 被看作是单引号,所以addslashes无法成功拦截。"

最好是按照具体的参数需求校验确定是 int 等不是,外加数据库的参数操作方法.其实这个是数据库的 sql 问题,应该从源头数据库本身来解决,只不过有些数据库滑提供相应的方法罢了.

SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。

为了防止SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用,那么输入的字符串中的单引号,双引号和其它一些字符前将会被自动加 上反斜杠\。

但Magic Quotes并不是一个很通用的解决方案,没能屏蔽所有有潜在危险的字符,并且在许多服务器上Magic Quotes并没有被启用。所以,我们还需要使用其它多种方法来防止SQL注入。

许 多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有addslashes()、 mysql_real_escape_string()、mysql_escape_string()等函数,可将特殊字符和可能引起数据库操作出错的字 符转义。那么这三个功能函数之间有什么却别呢?下面我们就来详细讲述下。

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。addslashes的问题在 于黑客 可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会 被看作是单引号,所以addslashes无法成功拦截。

当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。

另外对于php手册中get_magic_quotes_gpc的举例:
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname']);
} else {
$lastname = $_POST[‘lastname'];
}
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST['lastname']进行检查一下。

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。

总结一下:

* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
* mysql_escape_string不考虑连接的当前字符集。

dz中的防止sql注入就是用addslashes这个函数,同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',这个替换解决了注入的问题,同时也解决了中文乱码的一些问题

PHP 相关文章推荐
基于mysql的论坛(1)
Oct 09 PHP
PHP与SQL注入攻击[一]
Apr 17 PHP
PHP 读取文件的正确方法
Apr 29 PHP
使用PHP Socket写的POP3类
Oct 30 PHP
PHP使用get_headers函数判断远程文件是否存在的方法
Nov 28 PHP
ecshop后台编辑器替换成ueditor编辑器
Mar 03 PHP
javascript+php实现根据用户时区显示当地时间的方法
Mar 11 PHP
php微信公众平台开发之获取用户基本信息
Aug 17 PHP
php 调用ffmpeg获取视频信息的简单实现
Apr 03 PHP
PHP实现微信退款的方法示例
Mar 26 PHP
Yii2框架加载css和js文件的方法分析
May 25 PHP
PHP mkdir创建文件夹实现方法解析
Nov 13 PHP
PHP中创建空文件的代码[file_put_contents vs touch]
Jan 20 #PHP
php中将数组存到文件里的实现代码
Jan 19 #PHP
PHP取进制余数函数代码
Jan 19 #PHP
PHP采集腾讯微博的实现代码
Jan 19 #PHP
Php图像处理类代码分享
Jan 19 #PHP
调试一段PHP程序时遇到的三个问题
Jan 17 #PHP
php中可能用来加密字符串的函数[base64_encode、urlencode、sha1]
Jan 16 #PHP
You might like
PHP浮点比较大小的方法
2016/02/14 PHP
jQuery对象和DOM对象相互转化
2009/04/24 Javascript
ExtJS PropertyGrid中使用Combobox选择值问题
2010/06/13 Javascript
实现局部遮罩与关闭原理及代码
2013/02/04 Javascript
jquery插件jquery倒计时插件分享
2013/12/27 Javascript
与Math.pow 相反的函数使用介绍
2014/08/04 Javascript
js如何判断访问是来自搜索引擎(蜘蛛人)还是直接访问
2015/09/14 Javascript
js获取图片宽高的方法
2015/11/25 Javascript
常用JS图片滚动(无缝、平滑、上下左右滚动)代码大全(推荐)
2016/12/20 Javascript
js仿百度音乐全选操作
2017/01/13 Javascript
jQuery extend()详解及简单实例
2017/05/06 jQuery
JavaScript面向对象精要(上部)
2017/09/12 Javascript
细说webpack源码之compile流程-rules参数处理技巧(2)
2017/12/26 Javascript
vue利用v-for嵌套输出多层对象,分别输出到个表的方法
2018/09/07 Javascript
mpvue全局引入sass文件的方法步骤
2019/03/06 Javascript
Vue中img的src是动态渲染时不显示的解决
2019/11/14 Javascript
JS函数进阶之继承用法实例分析
2020/01/15 Javascript
Kettle中使用JavaScrip调用jar包对文件内容进行MD5加密的操作方法
2020/09/04 Javascript
python的即时标记项目练习笔记
2014/09/18 Python
python通过pil将图片转换成黑白效果的方法
2015/03/16 Python
Python内建模块struct实例详解
2018/02/02 Python
使用django-guardian实现django-admin的行级权限控制的方法
2018/10/30 Python
Django框架中间件(Middleware)用法实例分析
2019/05/24 Python
python使用多线程+socket实现端口扫描
2020/05/28 Python
Python自定义sorted排序实现方法详解
2020/09/18 Python
HTML5表单验证特性(知识点小结)
2020/03/10 HTML / CSS
Lampenwelt德国:欧洲领先的灯具和照明在线商店
2018/08/05 全球购物
牛津在线药房:Oxford Online Pharmacy
2020/11/16 全球购物
一个C/C++编程面试题
2013/11/10 面试题
公司领导推荐信
2013/11/12 职场文书
行政总经理岗位职责
2013/12/05 职场文书
客服服务心得体会
2013/12/30 职场文书
生产班组长岗位职责
2014/01/05 职场文书
群众路线领导对照材料
2014/08/23 职场文书
《槐乡的孩子》教学反思
2016/02/20 职场文书
css背景和边框标签实例详解
2021/05/21 HTML / CSS