슬래시 php addlashes 및 기타 공백 지우기 방법은 안전하지 않습니다.

공백을 지우는 방법은 부분적으로 문자에 공백이 너무 많기 때문에 안전하지 않습니다. 예를 들어 ""addslashes"의 문제는 해커가 작은따옴표를 0xbf27로 바꿀 수 있고 addlashes는 0xbf27을 0xbf5c27로 변경하여 유효한 다중 단어 섹션 문자인 0xbf5c는 여전히 작은따옴표로 간주되므로 추가 래시가 "
특정 매개변수 요구 사항과 매개변수 작동 방법에 따라 int인지 여부를 확인하는 것이 가장 좋습니다. 실제로 이는 데이터베이스의 SQL 문제이므로 원본 데이터베이스 자체에서 해결해야 하지만 일부 데이터베이스에서는 해당 방법을 제공합니다.
SQL 삽입 공격은 해커가 공격하는 가장 일반적인 방법입니다. 웹사이트. 귀하의 사이트가 엄격한 사용자 입력 유효성 검사를 사용하지 않는 경우 SQL 주입 공격에 취약한 경우가 많습니다. SQL 주입 공격은 일반적으로 잘못된 데이터나 쿼리 문을 사이트 데이터베이스에 제출하여 구현되며, 이로 인해 데이터베이스의 기록이 노출, 변경 또는 삭제될 수 있습니다.
SQL 주입 공격을 방지하기 위해 PHP에는 입력 문자열을 처리하고 하위 수준에서 입력에 대한 사전 보안 처리를 수행할 수 있는 기능, 즉 Magic Quotes가 제공됩니다. (php.ini Magic_quotes_gpc). Magic_quotes_gpc 옵션이 활성화되면 입력 문자열의 작은따옴표, 큰따옴표 및 기타 문자 앞에 자동으로 백슬래시가 붙습니다.
그러나 Magic Quotes는 매우 보편적인 솔루션이 아니며 잠재적으로 위험한 모든 캐릭터를 차단하지 않으며 Magic Quotes가 많은 서버에서 활성화되지 않습니다. 따라서 SQL 인젝션을 방지하기 위해서는 다른 다양한 방법도 활용해야 합니다.
많은 데이터베이스가 기본적으로 이러한 입력 데이터 처리 기능을 제공합니다. 예를 들어, PHP의 MySQL 작업 함수에는 addlashes(), mysql_real_escape_string(), mysql_escape_string() 및 특수 문자와 데이터베이스 작업 오류를 유발할 수 있는 문자를 이스케이프할 수 있는 기타 함수가 포함됩니다. 그렇다면 이 세 가지 기능적 기능의 차이점은 무엇입니까? 아래에서 자세히 이야기해 보겠습니다.
국내 PHP 프로그래머들은 여전히 ​​SQL 인젝션을 방지하기 위해 추가 래시(addlash)에 의존하고 있지만, 중국어로 SQL 인젝션을 방지하려면 모두가 점검을 강화하는 것이 좋습니다. addlashes의 문제점은 해커가 작은따옴표 대신 0xbf27을 사용할 수 있는 반면, addlashes는 0xbf27을 0xbf5c27로만 변경하므로 유효한 멀티바이트 문자가 됩니다. 0xbf5c는 여전히 작은따옴표로 간주되므로 addlashes가 성공적으로 가로챌 수 없습니다.
물론 addlashes는 쓸모가 없습니다. 단일 바이트 문자열을 처리하는 데 사용됩니다. 다중 바이트 문자의 경우 mysql_real_escape_string을 사용하세요.
또한 PHP 매뉴얼의 get_magic_quotes_gpc 예는 다음과 같습니다.
if (!get_magic_quotes_gpc()) {
$lastname = addlashes($_POST['lastname'])
} else {
$ lastname = $_POST['lastname'];
}
magic_quotes_gpc가 이미 열려 있으면 $_POST['lastname']을 확인하는 것이 가장 좋습니다.
mysql_real_escape_string과 mysql_escape_string 두 함수의 차이점에 대해 이야기해 보겠습니다.
mysql_real_escape_string은 (PHP 4 >= 4.3.0, PHP 5)에서만 사용할 수 있습니다. 그렇지 않으면 mysql_escape_string만 사용할 수 있습니다. 둘 사이의 차이점은 mysql_real_escape_string은 연결의 현재 문자 집합을 고려하지만 mysql_escape_string은 고려하지 않는다는 것입니다.
요약하자면:
* addlashes()는 강제 추가입니다.
* mysql_real_escape_string()은 문자 집합을 결정하지만 PHP 버전에 대한 요구 사항이 있습니다.
* mysql_escape_string은 현재를 고려하지 않습니다. 연결의 문자 집합입니다.
dz에서 SQL 삽입을 방지하기 위해 addlashes 함수를 사용합니다. 동시에 dthmlspecialchars 함수에 몇 가지 대체 기능이 있습니다. $string = preg_replace('/&(((#(d{3,5}|x [a-fA- F0-9]{4}));)/', '&\1', 이 대체 방법은 삽입 문제를 해결하고 중국어 문자가 깨져 있는 일부 문제도 해결합니다.

위에서는 슬래시 내용을 포함하여 슬래시 PHP 추가 및 기타 공백 지우기 방법이 안전하지 않다는 것을 소개했습니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.