关于注入攻击的表单提交问题?
当服务器配置设置成了magic_quotes_gpc=On,对于一些表单提交的数据,我未对这些数据进行处理直接写入数据库会不会造成注入攻击?如果会,大家在收到表单提交的变量后都用什么函数处理一下的?可否共享一下,THANKS。 问题点数:50、回复次数:4Top
1 楼jFresH_MaN(十一月的萧邦-夜曲)回复于 2005-04-19 12:37:54 得分 0
首先使用post提交数据
然后再过滤一些关键字比如javascriptTop
2 楼ice_berg16(寻梦的稻草人)回复于 2005-04-19 12:45:12 得分 50
on的时候不会,off的时候手工转义一下
$_POST = array_map( "stripslashes", $_POST );
$_GET =array_map( "stripslashes", $_GET);
$_COOKIE = array_map( "stripslashes", $_COOKIE );Top
3 楼ice_berg16(寻梦的稻草人)回复于 2005-04-19 12:46:07 得分 0
错了,上面的是除去转义
$_POST = array_map( "addslashes", $_POST );
$_GET =array_map( "addslashes", $_GET);
$_COOKIE = array_map( "addslashes", $_COOKIE );
Top
4 楼wjjchen(redfox)回复于 2005-04-19 13:00:53 得分 0
to:ice_berg16(寻梦的稻草人)
当POST过来的有数组时还可以这样用吗?Top
