コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
目次
// 适用各个 PHP 版本的用法if (get_magic_quotes_gpc()) {    $lastname = stripslashes($_POST['lastname']);}else {    $lastname = $_POST['lastname'];}// 如果使用 MySQL$lastname = mysql_real_escape_string($lastname);echo $lastname; // O\'reilly$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
ログイン後にコピー
ログイン後にコピー
" > 
// 适用各个 PHP 版本的用法if (get_magic_quotes_gpc()) {    $lastname = stripslashes($_POST['lastname']);}else {    $lastname = $_POST['lastname'];}// 如果使用 MySQL$lastname = mysql_real_escape_string($lastname);echo $lastname; // O\'reilly$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
ログイン後にコピー
ログイン後にコピー
ホームページ バックエンド開発 PHPチュートリアル PHP のインジェクション反対のアドバイス?

PHP のインジェクション反対のアドバイス?

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jun 23, 2016 pm 02:14 PM

この投稿は、u010572351 によって 2013-06-27 21:10:49 に最終編集されました

現在、私が知っている SQL 攻撃は、「%」などの特殊文字を多数入力することによって実装されています。ログイン インターフェイス SQL 攻撃、

ユーザー名とパスワードに特殊文字が含まれないことはわかっていますが、特殊文字が含まれる限り、それらを直接強制終了します。

また、addlashes は通常何に使用されますか?専門家は、初心者はあまりにも知識が少なすぎるため、アンチインジェクションについてもっと情報を共有してください。

主な理由は以下のとおりです:
magic_quotes_gpc=off
magic_quotes_gpc=on
addslashes()
tripslashes()
str_replace(); ログインや検索などのエントリページではない場合、通常の dql PHP ページのステートメントは使用しないでください。インジェクションの問題を考慮してください。

ディスカッションへの返信 (解決策) 

// 适用各个 PHP 版本的用法if (get_magic_quotes_gpc()) {    $lastname = stripslashes($_POST['lastname']);}else {    $lastname = $_POST['lastname'];}// 如果使用 MySQL$lastname = mysql_real_escape_string($lastname);echo $lastname; // O\'reilly$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
ログイン後にコピー
ログイン後にコピー

// 适用各个 PHP 版本的用法if (get_magic_quotes_gpc()) {    $lastname = stripslashes($_POST['lastname']);}else {    $lastname = $_POST['lastname'];}// 如果使用 MySQL$lastname = mysql_real_escape_string($lastname);echo $lastname; // O\'reilly$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
ログイン後にコピー
ログイン後にコピー


これは実際の開発で使いやすいですか?

使いやすいかどうかは使ってみないと分かりません。

使いやすいかどうかは使ってみないと分かりません。

上記の記述方法について 2 つの質問をしたいのですが:


1. magic_quotes_gpc をオンにすると、特殊文字を含む SQL が正常に mysql に追加され、取得するために addslashes() が必要なくなるようです。システムがすでに処理しているように見えるため、現時点ではstripslashes()は必要ありません。これは本当ですか? 

if (get_magic_quotes_gpc()) {  //如果 magic_quotes_gpc开启了,则会影响 post、get、cookie 请求的数据,单/双引号、反斜杠会在前面自动加上反斜杠,因此要先用stripslashes去掉反斜杠以免出现双重转义    $lastname = stripslashes($_POST['lastname']);}else {  //否则取原数据    $lastname = $_POST['lastname'];}
ログイン後にコピー
ログイン後にコピー

if (get_magic_quotes_gpc()) {  //如果 magic_quotes_gpc开启了,则会影响 post、get、cookie 请求的数据,单/双引号、反斜杠会在前面自动加上反斜杠,因此要先用stripslashes去掉反斜杠以免出现双重转义    $lastname = stripslashes($_POST['lastname']);}else {  //否则取原数据    $lastname = $_POST['lastname'];}
ログイン後にコピー
ログイン後にコピー


よろしくお願いします。これには 2 つの意味があることがわかりました:

1. mysql で特殊文字を正常に実行できるかどうかは、エスケープに関係します。

2. mysqlで実行することは可能ですが、mysqlがインジェクションを実行するために悪意のある特殊文字が表示されます。


mysql インジェクションの場合、mysql は一部の特殊文字を認識して実行できるはずですが、悪意のある実行結果が発生していますよね。

magic_quotes_gpc スイッチ

php 5.3 ではデフォルトで閉じられています

php 5.4 ではキャンセルされました

get_magic_quotes_gpc() の戻り値を判断するのは古いことです



SQL ステートメントが標準化された方法で記述されている限り、何もありません問題。たとえば、文字列連結を使用する代わりに、置換を使用します。引用符を正しく使用してください。 PDOを使用します。

絶対的な安全は不可能です。コストと大きく関係します。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前 By DDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:Myriseのすべてのロックを解除する方法
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7469
15
CakePHP チュートリアル
1376
52
Steamのアカウント名の形式は何ですか
77
11
Win11 Activation Key Permanent
48
19
NYTの接続はヒントと回答です
19
29
もっと見る
Related knowledge
Laravelでフラッシュセッションデータを使用します Laravelでフラッシュセッションデータを使用します Mar 12, 2025 pm 05:08 PM

Laravelは、直感的なフラッシュメソッドを使用して、一時的なセッションデータの処理を簡素化します。これは、アプリケーション内に簡単なメッセージ、アラート、または通知を表示するのに最適です。 データは、デフォルトで次の要求のためにのみ持続します。 $リクエスト -

PHPのカール:REST APIでPHPカール拡張機能を使用する方法 PHPのカール:REST APIでPHPカール拡張機能を使用する方法 Mar 14, 2025 am 11:42 AM

PHPクライアントURL(CURL)拡張機能は、開発者にとって強力なツールであり、リモートサーバーやREST APIとのシームレスな対話を可能にします。尊敬されるマルチプロトコルファイル転送ライブラリであるLibcurlを活用することにより、PHP Curlは効率的なexecuを促進します

Alipay PHP SDK転送エラー:「クラスの看板を宣言できない」という問題を解決する方法は? Alipay PHP SDK転送エラー:「クラスの看板を宣言できない」という問題を解決する方法は? Apr 01, 2025 am 07:21 AM

Alipay Php ...

Laravelテストでの簡略化されたHTTP応答のモッキング Laravelテストでの簡略化されたHTTP応答のモッキング Mar 12, 2025 pm 05:09 PM

Laravelは簡潔なHTTP応答シミュレーション構文を提供し、HTTP相互作用テストを簡素化します。このアプローチは、テストシミュレーションをより直感的にしながら、コード冗長性を大幅に削減します。 基本的な実装は、さまざまな応答タイプのショートカットを提供します。 Illuminate \ support \ facades \ httpを使用します。 http :: fake([[ 'google.com' => 'hello world'、 'github.com' => ['foo' => 'bar']、 'forge.laravel.com' =>

Codecanyonで12の最高のPHPチャットスクリプト Codecanyonで12の最高のPHPチャットスクリプト Mar 13, 2025 pm 12:08 PM

顧客の最も差し迫った問題にリアルタイムでインスタントソリューションを提供したいですか? ライブチャットを使用すると、顧客とのリアルタイムな会話を行い、すぐに問題を解決できます。それはあなたがあなたのカスタムにより速いサービスを提供することを可能にします

PHPにおける後期静的結合の概念を説明します。 PHPにおける後期静的結合の概念を説明します。 Mar 21, 2025 pm 01:33 PM

記事では、PHP 5.3で導入されたPHPの後期静的結合(LSB)について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ

フレームワークセキュリティ機能:脆弱性から保護します。 フレームワークセキュリティ機能:脆弱性から保護します。 Mar 28, 2025 pm 05:11 PM

記事では、入力検証、認証、定期的な更新など、脆弱性から保護するためのフレームワークの重要なセキュリティ機能について説明します。

フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。 フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。 Mar 28, 2025 pm 05:12 PM

この記事では、フレームワークにカスタム機能を追加し、アーキテクチャの理解、拡張ポイントの識別、統合とデバッグのベストプラクティスに焦点を当てています。

See all articles