PHP SQL 預防注入與攻擊技術實現以及辦法 (1/4)

php教程 sql 預防注入與攻擊技術實現以及辦法
1. php 設定檔 php.ini 中的 magic_quotes_gpc 選項沒有開啟，被置為 off

　　2. 開發人員沒有對資料類型進行檢查和轉義

　　不過事實上，第二點最為重要。我認為, 對使用者輸入的資料類型進行檢查，向 mysql教程 提交正確的資料類型，這應該是一個 web 程式員最最基本的素質。但現實中，常常有許多小白式的 web 開發人員忘了這點, 從而導致後門大開。

　　為什麼說第二點最為重要？因為如果沒有第二點的保證，magic_quotes_gpc 選項，不論為 on，還是為 off，都有可能引發 sql 注入攻擊。下面來看一下技術實現：

　一. magic_quotes_gpc = off 時的注入攻擊
　　magic_quotes_gpc = off 是 php 中一種非常不安全的選項。新版本的 php 已經將預設的值改為了 on。但仍有相當多的伺服器的選項為 off。畢竟，再古董的伺服器也是有人用的。

　　當magic_quotes_gpc = on　時，它會將提交的變數中所有的 '(單引號)、"(雙號號)、(反斜線)、空白字元，都為在前面自動加上 。下面是 php 的官方說明：

magic_quotes_gpc boolean

sets the magic_quotes state for gpc (get/post/cookie) operations. when magic_quotes are on, all ' (single-quote), " (double quote), (backslash) and nul's are escaped with a backslash automatically

　

首頁 1 2 3 4 末頁