この記事は主におかずのためのものです。すでに老鳥になっている人にとっては退屈に感じるかもしれませんが、注意深く見ると興味深いものがたくさんあります。
この記事を読んだ後は、次のことを理解するだけで済みます。
1. php+mysql 環境の構築方法を理解する CD に関連する記事が含まれています。php+mysql 環境の構築についてよくわからない場合は、まずこの記事も参照してください。前号のトピックの紹介。
2. 主に php.ini と httpd.conf を使用して、php と Apache の設定について一般的に理解します。
この記事では、主に php.ini の設定を使用します。安全上の理由から、通常は php.ini でセーフ モードをオンにします。つまり、safe_mode = On にします。もう 1 つは、PHP 実行エラーを返す display_errors です。これは多くの有用な情報を返すため、オフにする必要があります。 ,
つまり、display_errors= off とします。エラー表示をオフにすると、PHP 関数の実行エラー情報がユーザーに表示されなくなります。
PHP 設定ファイル php.ini には、非常に重要な設定オプション magic_quotes_gpc もあります。上位バージョンのデフォルトは、オリジナルのアンティークレベルの PHP のみです。
デフォルトの設定は、magic_quotes_gpc=Off ですが、これはアンティークです。 . 人が使っているものもあるよ!
php.ini で magic_quotes_gpc=On を指定するとどうなりますか? パニックにならないでください。空は落ちません。送信された変数内のすべての ' (一重引用符)、" (二重引用符)、(バックスラッシュ)、および null 文字をバックスラッシュを含むエスケープ文字に変換するだけです。たとえば、' は ' になります。
これが私たちを不幸にする原因です。キャラクターたちにバイバイを言わなければなりません
でも、落胆しないでください。まだ良い対処法があります。
3. php 言語の基本的な知識を持ち、いくつかの SQL ステートメントを理解してください。使用するものはほとんどないので、まだ充電する時間です!
まず、magic_quotes_gpc=Off のときに何ができるかを見てみましょう。次に、magic_quotes_gpc=On の場合に対処する方法を見つけます。
1: magic_quotes_gpc= の場合のインジェクションオフ
ref="http://hackbase.com/hacker" target=_blank> 攻撃
magic_quotes_gpc=Off 非常に安全ではありませんが、新しいバージョンではデフォルトで
magic_quotes_gpc=On になっていますが、magic_quotes_gpc=Off であることもわかりました。 www.qichi.* などの多くのサーバーでは
vbb フォーラムのようなプログラムもいくつかあります。magic_quotes_gpc=On に設定しても、自動的にエスケープ文字が削除され、それを利用できるようになります。
magic_quotes_gpc=Off のメソッドは依然として非常に市場性があります
以下で、mysql + php インジェクションの構文、注入ポイント、および注入タイプについて詳しく説明します
A: MYSQL 構文から始めましょう
1. まず、mysql の基本的な構文について話しましょう。勉強が苦手な子の補習とも言えます~_~