addslashes函数转义的安全性分析
来源:互联网 发布:网易新闻app数据抓取 编辑:程序博客网 时间:2024/04/30 21:09
PHP中使用addslashes函数转义的安全性分析
先来看一下ECshop中addslashes_deep的原型
function addslashes_deep($value) {
if (empty($value)) {
return $value; //如为空,直接返回;
} else {
return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
} //递归处理数组,直至遍历所有数组元素;
}
addslashes_deep函数本身没有问题,但使用时得注意一点
恰好今天也是在网上看到了有人发了关于使用这个函数使用的BUG注入漏洞
这个函数在引用回调函数addslashes时,只对数据的值进行转义,所以如果使用者在此过程中引用数组的键进行特定处理时,存在$key注入风险,此时可更改addslashes_deep函数,使其同时对键值进行转义,或者使用时明确不引用键内容。
- addslashes函数转义的安全性分析
- mysql插入数据时用到的转义函数addslashes()
- PHP的转义函数 htmlspecialchars、strip_tags、addslashes解释
- PHP 字符串存储(转义) addslashes 与 stripslashes 函数
- addslashes() 函数
- PHP的addslashes() 函数和addcslashes()函数
- addslashes()、mysql_real_escape_string()、mysql_escape_string()函数之间的区别
- PHP函数addslashes和mysql_real_escape_string的区别
- scanf函数安全性分析
- stripslashes() 函数删除由 addslashes() 函数添加的反斜杠
- C/C++笔记--strcpy和strncpy函数的安全性分析
- PHP addslashes() 函数
- PHP addslashes() 函数
- php addslashes()函数
- htmlspecialchars()和addslashes()函数
- 函数的多线程安全性
- 魔术引用和函数addslashes()的微妙关系
- addslashes()和addclashes()函数的区别和比较。
- Twitter Bootstrap:前端框架利器
- Java实现多个客户端聊天程序
- Hadoop中文件读写(Java)
- Gstreamer实现摄像头的远程采集,udp传输,本地显示和保存为AVI文件 接收保存显示端
- mysql修改密码以及忘记密码
- addslashes函数转义的安全性分析
- c++中关于类型兼容性规则的介绍
- printk 效率好低,能快点不?
- Android开发之EditText属性详解
- 贪心算法之区间选点
- 泛型二——原类型(Java tutorial SE7 翻译)
- MapReduce:详解Shuffle(copy,sort,merge)过程
- ant release
- web.xml中的url-pattern的映射规则