PHP SQL注入
Posted lwfiwo
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP SQL注入相关的知识,希望对你有一定的参考价值。
开发者容易遗漏的输入点:
- HTTP头
-
- X-Forwarded-For 获取用户ip
- User-Agent 获取浏览器
- Referer 获取之前访问页面
- php_SELF
- REQUEST_URI
- 上传的文件名$_FILES[][name]
- php://input (全局转义之后对http的body使用php://input进行获取,默认不会进行转义)
引入单引号(转义符)的方法:
stripslashes (去除\)
base64_decode (进行解码,去掉转义)
urldecode (将27%解码为单引号)
substr (截断字符串,将\与‘截断为两个字符)
iconv (转换字符集,导致宽字符注入)
str_replace(‘0‘,",$sql) (将0转义成\0,从而造成注入)
xml
json_encode (加上\)
以上是关于PHP SQL注入的主要内容,如果未能解决你的问题,请参考以下文章