SQL-在 PHP 中注入,如何将非转义引用发送到服务器?
SQL-injection in PHP, how is it possible to send non-escaped quote to server?
此代码似乎不安全:
<form method='post'>
<input type='text' name='x' style='width:1000px'>
<input type='submit' value='Send'>
</form>
<?php
if(isset($_POST['x']))
{
require_once("db_connect.php");
$q = mysqli_query($dbc, "SELECT x FROM table where x = '". $_POST['x'] ."'");
while($r = mysqli_fetch_assoc($q))
echo $r['x'];
}
但是当我发送恶意输入时,它不起作用。所以我做了类似的脚本:
<form method='post'>
<input type='text' name='x' style='width:1000px'>
<input type='submit' value='Send'>
</form>
<?php
if(isset($_POST['x']))
echo $_POST['x'];
当我发送 ' (撇号)时,我收到了 \' 。于是就变成了自动转义。我的问题是,它发生在哪里?如何发送'clear'撇号?
您可以开启 Magic Quotes。你 运行 PHP 是哪个版本? Magic Quotes 在 5.3 中被弃用并在 5.4 中被移除,但它们在存在时默认为 ON。
Magic Quotes 会自动转义引号,但您真的不应该依赖它。您应该将其关闭并使用不同的转义方法,或者更好地查看使用 prepared statements.
运行 get_magic_quotes_gpc() 看看你有没有戴。如果是这样,请通过对 php.ini 文件进行以下更改来关闭它们:
; Magic quotes
;
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off
; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off
此代码似乎不安全:
<form method='post'>
<input type='text' name='x' style='width:1000px'>
<input type='submit' value='Send'>
</form>
<?php
if(isset($_POST['x']))
{
require_once("db_connect.php");
$q = mysqli_query($dbc, "SELECT x FROM table where x = '". $_POST['x'] ."'");
while($r = mysqli_fetch_assoc($q))
echo $r['x'];
}
但是当我发送恶意输入时,它不起作用。所以我做了类似的脚本:
<form method='post'>
<input type='text' name='x' style='width:1000px'>
<input type='submit' value='Send'>
</form>
<?php
if(isset($_POST['x']))
echo $_POST['x'];
当我发送 ' (撇号)时,我收到了 \' 。于是就变成了自动转义。我的问题是,它发生在哪里?如何发送'clear'撇号?
您可以开启 Magic Quotes。你 运行 PHP 是哪个版本? Magic Quotes 在 5.3 中被弃用并在 5.4 中被移除,但它们在存在时默认为 ON。
Magic Quotes 会自动转义引号,但您真的不应该依赖它。您应该将其关闭并使用不同的转义方法,或者更好地查看使用 prepared statements.
运行 get_magic_quotes_gpc() 看看你有没有戴。如果是这样,请通过对 php.ini 文件进行以下更改来关闭它们:
; Magic quotes
;
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off
; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off