成都网站建设网站建设,wordpress去除更新提示,网站优化图片,中国空间站图片绘画文章目录 一、攻击二、输入过滤 一、攻击
万能密码#xff1a;如 xxx‘or’1该密码拼凑出来的sql语句会直接执行 or’1则满足一切条件解决方法#xff1a;将用户传过来的密码加密#xff0c;如md5等万能用户名#xff1a;如 xxx‘or 1# 该密码拼凑出来的sql语句会直接执行… 文章目录 一、攻击二、输入过滤 一、攻击
万能密码如 xxx‘or’1该密码拼凑出来的sql语句会直接执行 or’1则满足一切条件解决方法将用户传过来的密码加密如md5等万能用户名如 xxx‘or 1# 该密码拼凑出来的sql语句会直接执行 or 1 (#注释掉后面所有剩余的sql)解决方法在PHP层面可以使用addslashes在MySQL层面可以用mysqli_real_escape_string函数去转移特殊字符GET方式请求………or 1 拼接起来的sql语句可能有危险解决方法对参数进行类型转换intintvalXSS攻击页面中嵌入了html标签解决方法对HTML标签进行实例化htmlspecialchars(),htmlentities()远程文件包含漏洞http:/ /127.0.0.1/index.php?filenamehttp:// 192.168.0.1/php.txt可以直接执行php.txt解决方法可用替换掉“/”的方法$filename str_replace(‘/’,‘’,$_GET[‘filename’]);
二、输入过滤
trim去除字符串左右两端的空白字符串包括空格、换行、制表符等intval将字符串转换为整形strip_tags:去除字符串中的“”标签例b测试/b》测试YY帆S》帆Shtmlspecialchars将html标签转化为实体
