xss magic_quotes_gpc
2024-09-02 00:13:37
---恢复内容开始---
magic_quotes_gpc函数,在php5.4以上移除了,
但是很奇怪的是 我的5.6版本这边 是可以找到这个选项的。
在php.ini文件里面,默认关闭,如果将此开启,php解析会自动将POST、GET/COOKIE传过来的数据进行转义。
在php5.4的更高版本中,这个选项被去掉了,也即是php解析器不会自动为POST、GET、COOKIE过来的数据增加转义字符"\",而是把安全编码交给了用户自己,从而避免了magic_quotes_gpc未设置,用户依赖这个设置而带来了安全隐患。
这就需要我们在进行sql语句执行前,必须转义任何变量:
$value = mysql_real_escape_string($value);
除了数据库部分,程序如何加强自己自身的安全性,保护php cookie get post files 数据。
<?php
$magic_quotes_gpc = get_magic_quotes_gpc();
@extract(daddslashes($_COOKIE));
@extract(daddslashes($_POST));
@extract(daddslashes($_GET));
if(!$magic_quotes_gpc) {
$_FILES = daddslashes($_FILES);
}
//daddslashes函数,转译字符函数
function daddslashes($string) {
if(!is_array($string)) return addslashes($string);
foreach($string as $key => $val) $string[$key] = daddslashes($val);
return $string;
}
?>
最新文章
- C#读取Excel表格数据到DataGridView中和导出DataGridView中的数据到Excel
- 一款炫酷的幻灯片播放框架介绍(附demo及使用方法)
- MySQL重置root用户密码的方法
- SVN 主干(trunk)、分支(branch )、标记(tag)
- Code for the Homework2 改进
- python 下的数据结构与算法---6:6大排序算法
- ssh ";openssh-daemon is stopped";操作之伤+sftp访问“-bash: /dev/null: Permission denied”
- 一起看看2016中国第三届CSS开发者大会有哪些大咖演讲
- Nginx反向代理使用【转载】
- HTML5中meta属性大集合
- 远程桌面控制winsever,复制文件或者文件夹夹时出错提示“未指定的错误” 二(如何让远程电脑识别U盘)
- Mathematica绘制曲面交线方法
- lfs(systemd版本)学习笔记-第1页
- docker之搭建LNMP
- 整理OpenResty+Mysql+Tomcat+JFinal+Cannal+HUI
- page上BeanId与ActionType中的ParameterId
- 初次接触ARM开发,理清这四个开发思路很重要!
- JAVA获取时间的方式
- jquery过滤特殊字符及js字符串转为数字
- Linux学习笔记 -- 初识 Shell