开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在php4.0及以上的版本中,该选项默认情况下是开启的,所以在php4.0及以上的版本中,就算php程序中的参数没有进行过滤,php系统也会对每一个通过get、post、cookie方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。
虽然如此,攻击者仍然有机会进行sql注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。
前面已经提到过,开启magic_quote_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。
实例演示:
假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quote_gpc启用。
SQL语句:
立即学习“PHP免费学习笔记(深入)”;
| 代码如下 | 复制代码 |
| $sql="select * from users where username=$name and password='$pwd'"; | |
注意:变量$name没加引号
此时,在地址栏中输入username=admin%23,则合成后的sql语句为:
| 代码如下 | 复制代码 |
| select * from users where username='admin' #' and password=''; | |
这时候通过url地址栏输入的单引号(’)将被加上反斜线,该sql语句将失效。
admin转换成ASCII后是char(97,100,109,105,110)
此时在地址栏中输入
| 代码如下 | 复制代码 |
| username=char(97,100,109,105,110)%23 | |
SQL语句就变成了:
| 代码如下 | 复制代码 |
| select * from users where username=char(97,100,109,105,110)#' and password=''; | |
执行结果为真,就可以顺利进入后台。
对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。
比如:
| 代码如下 | 复制代码 |
|
$id=intval($_GET[‘id’]); select * from articles where id=’$id’; |
|
地址栏中输入:
| 代码如下 | 复制代码 |
| id=5’ or 1=1%23 | |
SQL语句将变成:
| 代码如下 | 复制代码 |
|
select * from articles where id=’5’; 而不是select * from articles where id=’5’ or 1=1#; |
|
总结:
对于每一个变量都记得加上单引号,比如where username=’$name’,
开启magic_quote_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
190
收藏
