(编辑:jimmy 日期: 2024/11/16 浏览:2)
PHP通过提取魔术引号产生的“\”字符会带来一定的安全问题,例如下面这段代码片段:
// foo.php"htmlcode">... if($xigr) { foreach($xigr as $k => $v) { $uids[] = $v['uid']; } $query = $db->query("SELECT uid FROM users WHERE uid IN ('".implode("','", $uids)."')");利用上面提到的思路,通过提交foo.php?xigr[]='&xigr[][uid]=evilcode这样的构造形式可以很容易的突破GPC或类似的安全处理,形成SQL注射漏洞!对此应给与足够的重视!