文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

php注入记录需要注意什么

2024-04-02 19:55

关注

这篇文章给大家介绍php注入记录需要注意什么,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

常见获取变量

$_GET$_POST $_COOKIE $_SERVER

is_numeric(),ctype_digit() 正则表达式//判断是否为数字,后面的函数为转换成为数字型

mysql_real_escape_string()//先连接数据库否则不转换 字符型的注入这样转换即可

addslashes()//数字型的注入

第er课:

union 前后要一致

php.ini中 magic_quotes_gpc=on 开启即可转译字符 防止注入

echo $_SERVER['QUREY_STRING'];返回?号自后的字符

<?php

echo$_GET['id']."<br/>";

echo$_SERVER['QUERY_STRING']."<br/>";

解决方法:

get_magic_quotes_gpc的举例:

if(!get_magic_quotes_gpc()) {//判断打开了没,没有就转换

$lastname= addslashes($_POST[‘lastname’]);

}else {

$lastname= $_POST[‘lastname’];

}

注意:http://localhost/dvwa/test.php?id=%bf%27

echo$_GET['id']."<br/>";

此处不进行转换结果为:'

中:

$id = $_GET['id'];

$id = mysql_real_escape_string($id);

高:字符型sql注入

$id = $_GET['id'];

$id = stripslashes($id);

$id = mysql_real_escape_string($id);

//这里可以进行数字型的注入过滤

if (is_numeric($id)){

3=====================================================

测试sql注入

1'and(select 1 from(select count(*),concat((select (selectconcat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e)) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x frominformation_schema.tables group by x)a) and '1'='1

数据库报错信息泄露防范

1.把php.ini文件display_errors =Off

2.数据库查询函数前面加一个@字符

?id=1'%20and(select%201%20from(select%20count(*),concat((select%20(select%20concat(0x7e,0x27,unhex(Hex(cast(database()%20as%20char))),0x27,0x7e))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20and%20'1'='1&Submit=Submit#

盲注:id=%27+union+select+user%2Cpassword+from+users%23&Submit=Submit

数字型的注入漏洞防护

1.is_numeric(),ctype_digit(),=intval() 正则表达式

2.str_length()限制输入的字符长度

字符型的注入漏洞防护

1.mysql_real_escape_string()过滤

2.str_length()限制输入的字符长度

如何挖掘sql注入漏洞

常见获取变量

$_GET$_POST $_COOKIE $_SERVER

数据库操作函数

mysql_query()参数:

关于php注入记录需要注意什么就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯