魔法引用magic_quotes_gpc
这两天接入百度SDK处理支付回调时碰到了签名通不过的情况,签名规则很简单,md5(transdata + appkey) 和 接受到的sign比较,请求方式为POST。 于是乎通过php://input记录下了原始数据和记录下了POST数据,通过日志查看到结果类似如下: //原始数据transdata=
这两天接入百度SDK处理支付回调时碰到了签名通不过的情况,签名规则很简单,md5(transdata + appkey) 和 接受到的sign比较,请求方式为POST。
于是乎通过php://input记录下了原始数据和记录下了POST数据,通过日志查看到结果类似如下:
//原始数据
transdata={"exorderno":"2014031223","transid":"05514312314566",
"waresid":1,"appid":"1","feetype":0,"money":1,"count":1,"result":0,
"transtype":0,"transtime":"2014-03-12 15:33:19","paytype":401}&sign=xxxx
//post数据
[transdata] => {\"exorderno\":\"2014031223452345234\",\"transid\":
\"05514031215312314566\",\"waresid\":1,\"appid\":\"1\",\"feetype\":0,
\"money\":1,\"count\":1,\"result\":0,\"transtype\":0,
\"transtime\":\"2014-03-12 15:33:19\",\"paytype\":401}
[sign] => xxxx
可见接收到post数据时引号自动转义了,而程序上未做到该操作,很容易就联想到服务器的魔法引用打开了,查看php版本
PHP 5.2.14 (cli) (built: Jun 7 2012 20:39:40)
Copyright (c) 1997-2010 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2010 Zend Technologies
魔法引用5.4才删掉的,那极有可能这里打开在,查看配置文件确实如此,根据条件开关strip一下即可。
问题很快就解决了,但如果不熟悉这块可能还需要点时间,之前在CI的全局参数xss设置中有类似的地方,当进行全局处理之后对于这种接口、密钥可能会带来一些影响,所以全局参数过滤需要注意点。
矛盾可分为主要矛盾和次要矛盾,我们在程序设计中也常有这种思想,改最少的地方,过滤大部分参数,少数特殊处理。php中把它去掉了并不说明它没有存在的价值,有了魔法引用少了很多注入,但同时也让一些东西变得混乱,哪里需要转义,要怎么转义,通过什么方式来转义等等。客观看待,汲取中间有用的部分。
原文地址:魔法引用magic_quotes_gpc, 感谢原作者分享。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
热门话题
如何在苹果笔记中使用块引号
Oct 12, 2023 pm 11:49 PM
在iOS17和macOSSonoma中,Apple为AppleNotes添加了新的格式选项,包括块引号和新的Monostyle样式。以下是使用它们的方法。借助AppleNotes中的其他格式选项,您现在可以在笔记中添加块引用。块引用格式可以轻松地使用文本左侧的引用栏直观地偏移部分的写作。只需点击/单击“Aa”格式按钮,然后在键入之前或当您在要转换为块引用的行上时选择块引用选项。该选项适用于所有文本类型、样式选项和列表,包括清单。在同一“格式”菜单中,您可以找到新的“单样式”选项。这是对先前“等宽
C++编译错误:未定义的引用,该怎么解决?
Aug 21, 2023 pm 08:52 PM
C++是一门广受欢迎的编程语言,但是在使用过程中,经常会出现“未定义的引用”这个编译错误,给程序的开发带来了诸多麻烦。本篇文章将从出错原因和解决方法两个方面,探讨“未定义的引用”错误的解决方法。一、出错原因C++编译器在编译一个源文件时,会将它分为两个阶段:编译阶段和链接阶段。编译阶段将源文件中的源码转换为汇编代码,而链接阶段将不同的源文件合并为一个可执行文
了解Magic Eden的钻石奖励:赚取的价值和获取方法
Jan 26, 2024 pm 05:57 PM
之前,SOL链上的主流NFT市场MagicEden推出了Launchpad功能。在此之前,PANews已经介绍了MagicEden的运营状态,并为NFT交易平台和用户提供了优化运营方式和投资方式的分析。最近,MagicEden在运营方面推出了新的活动,引入了钻石奖励,以激励用户使用其产品。在本文中,PANews将详细解释如何获得MagicEden的钻石奖励,并评估这个奖励是否值得赚取。MagicEden钻石奖励是否值得赚取?根据官方博客,MagicEden平台现在通过钻石奖励赋能为用户提供更多长
外屏最大的小折叠!荣耀Magic V Flip亮相
Jun 14, 2024 am 11:21 AM
6月13日消息,今日晚间,荣耀首款小折叠屏荣耀MagicVFlip正式登场。和其它小折叠不同,荣耀MagicVFlip带来了行业目前最大竖折魔法外屏,其屏幕尺寸是4.0英寸,采用四曲面等深设计,屏占比达到了史无前例的85%,从此外屏不再是“副屏”,内外皆是主力屏。与此同时,荣耀MagicVFlip外屏还拥有比肩旗舰的屏幕素质,行业领先的荣耀护眼屏,以及全场景智慧交互。据悉,荣耀MagicVFlip外屏是一块全域低功耗LTPO外屏,做到了行业领先的2500nit局部峰值亮度,还有行业
C++ 函数返回引用类型有什么好处?
Apr 20, 2024 pm 09:12 PM
C++中的函数返回引用类型的好处包括:性能提升:引用传递避免了对象复制,从而节省了内存和时间。直接修改:调用方可以直接修改返回的引用对象,而无需重新赋值。代码简洁:引用传递简化了代码,无需额外的赋值操作。
magic系统可以升级成鸿蒙么
Dec 22, 2022 pm 02:29 PM
magic系统不可以升级成鸿蒙,因为magic系统属于荣耀手机,而荣耀已经从华为脱离出来,不再属于华为的子公司,所以在2020年11月17日后面发行的荣耀手机都是不支持升级鸿蒙系统的。
如何使用 C++ 引用和指针传参?
Apr 12, 2024 pm 10:21 PM
C++中引用和指针都是传递函数参数的方法,但有区别。引用是变量的别名,修改引用会修改原始变量,而指针存储变量的地址,修改指针值不会修改原始变量。在选择使用引用还是指针时,需要考虑是否需要修改原始变量、是否需要传递空值和性能考虑等因素。
C++语法错误:函数返回指针或引用时,不能返回局部变量或临时对象,应该如何处理?
Aug 22, 2023 am 09:22 AM
C++是一种面向对象的编程语言,它的灵活性和强大性通常为程序员提供了很大的帮助。然而,也正是因为其灵活性,编程时难以避免各种小错误。其中一个很常见的错误就是函数返回指针或引用时,不能返回局部变量或临时对象。那么该如何处理这个问题呢?本文将详细介绍相关的内容。问题的原因在C++语言中,局部变量和临时对象是在函数运行期间动态分配的。当函数结束时,这些局部变量和临
