PHP中使用addslashes函数转义的安全性原理分析
更新时间:2014年11月03日 10:48:12 投稿:shichen2014
这篇文章主要介绍了PHP中使用addslashes函数转义的安全性原理分析,较为深入的分析了addslashes函数的用法及ecshop自定义函数addslashes_deep的不足之处,非常具有实用价值,需要的朋友可以参考下
本文实例讲述了PHP中使用addslashes函数转义的安全性原理分析。分享给大家供大家参考。具体分析如下:
先来看一下ECshop中addslashes_deep的原型
复制代码 代码如下:
function addslashes_deep($value) {
if (empty($value)) {
return $value; //如为空,直接返回;
} else {
return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
} //递归处理数组,直至遍历所有数组元素;
}
if (empty($value)) {
return $value; //如为空,直接返回;
} else {
return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
} //递归处理数组,直至遍历所有数组元素;
}
addslashes_deep函数本身没有问题,但使用时得注意一点
恰好今天也是在网上看到了有人发了关于使用这个函数使用的BUG注入漏洞
这个函数在引用回调函数addslashes时,只对数据的值进行转义,所以如果使用者在此过程中引用数组的键进行特定处理时,存在$key注入风险,此时可更改addslashes_deep函数,使其同时对键值进行转义,或者使用时明确不引用键内容。
希望本文所述对大家的PHP程序设计有所帮助。
相关文章
PHP 运行的时候,也就是部署完成后,我们是不能修改常量的值,也不能修改方法体内部的实现的。也就是说,我们编码完成后,将代码上传到服务器,这时候,我们想在不修改代码的情况去修改一个常量的值是不行的。但是,runkit 扩展却可以帮助我们完成这个功能。2021-05-05
这篇文章主要介绍了php5.6.x到php7.0.x特性,总结分析了php5.6.x到php7.0.x各种常用特性及新增特性,以及相关使用技巧,需要的朋友可以参考下2019-08-08
mkdir() 函数创建目录。若成功,则返回 true,否则返回 false。2009-01-01
需要读取一个文件的几行内容,但是文件比较大,所以研究了下php读取大文件的几行内容的方法,写了一个方法,代码如下2013-06-06
下面小编就为大家带来一篇php 调用ffmpeg获取视频信息的简单实现。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-04-04
这篇文章主要介绍了PHP使用Mysqli类库实现完美分页效果的方法,结合实例形式分析了PHP使用Mysqli类库的相关配置文件设置,数据库操作及分页的相关实现技巧,需要的朋友可以参考下2016-04-04
这篇文章主要介绍了php中静态类与静态变量用法的区别,以实例形式较为详细的分析了php中静态类与静态变量的定义、功能及使用技巧,需要的朋友可以参考下2015-01-01
本文给大家汇总介绍了3种使用php生成短网址的方法,第一种是PHP+MySQl实现短网址的生成和读取,第二种是php+ini方式,第三种跟第一种有些类似,各有利弊,小伙伴们可以根据自己的项目需求来选择。2016-07-07
这篇文章主要给大家介绍了关于PHP判断一个变量是否为整数、正整数的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用PHP具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2019-09-09
这篇文章主要介绍了PHP实现手机号码中间四位用星号(*)隐藏的自定义函数分享,这是一个比较常用的功能,需要的朋友可以参考下2014-09-09
最新评论