作者justinC (无)
看板PHP
标题Re: [请益] php 发生 隐码问题
时间Fri Apr 14 19:06:06 2006
※ 引述《ckmarkhsu (深蓝站长)》之铭言:
: php 也有此风险
: 例如 SELECT userid FROM user WHERE username = $usernmae
: 如果传近来的值是 '' OR 1=1
: 那就会出错啦:P
: ※ 引述《justinC (无)》之铭言:
: : 像asp 很容易发生这类问题
: : 大多查到资料都是asp的
: : 虽然php 的预设都有把特殊字元slash掉
: : 难道就不会发生问题吗?有php相关资料吗
1F:推 JoeHorn:就算 username = '$usernmae' 也是可能有问题. 04/06 13:50
2F:→ JoeHorn:如果丢 $username 被丢 ' OR 1 OR username=' 进去.. 04/06 13:51
如果 username='$username'
丢' OR 1 OR username=' 进去
会变username=' \' OR 1 OR username=\' '
这样'被slash掉了 还会有问题? 我试不出来...
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.221.120.127
3F:推 LPH66:他说的应该是没被slash掉的情况吧... 04/14 19:57
4F:推 justinC:我也是觉得这样...PHP预设都slash掉..害我想半天.. 04/14 21:22
5F:推 ckmarkhsu:php 内含的 php.ini.建议 那个党预设没有 slash 吧? 04/14 21:42
6F:推 justinC:magic_quotes_sybase 果然是off 但是我输入' 出去变\' 04/14 22:22
7F:→ justinC:为什麽会多了\ ? 04/14 22:23