作者justinC (無)
看板PHP
標題Re: [請益] php 發生 隱碼問題
時間Fri Apr 14 19:06:06 2006
※ 引述《ckmarkhsu (深藍站長)》之銘言:
: php 也有此風險
: 例如 SELECT userid FROM user WHERE username = $usernmae
: 如果傳近來的值是 '' OR 1=1
: 那就會出錯啦:P
: ※ 引述《justinC (無)》之銘言:
: : 像asp 很容易發生這類問題
: : 大多查到資料都是asp的
: : 雖然php 的預設都有把特殊字元slash掉
: : 難道就不會發生問題嗎?有php相關資料嗎
1F:推 JoeHorn:就算 username = '$usernmae' 也是可能有問題. 04/06 13:50
2F:→ JoeHorn:如果丟 $username 被丟 ' OR 1 OR username=' 進去.. 04/06 13:51
如果 username='$username'
丟' OR 1 OR username=' 進去
會變username=' \' OR 1 OR username=\' '
這樣'被slash掉了 還會有問題? 我試不出來...
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.221.120.127
3F:推 LPH66:他說的應該是沒被slash掉的情況吧... 04/14 19:57
4F:推 justinC:我也是覺得這樣...PHP預設都slash掉..害我想半天.. 04/14 21:22
5F:推 ckmarkhsu:php 內含的 php.ini.建議 那個黨預設沒有 slash 吧? 04/14 21:42
6F:推 justinC:magic_quotes_sybase 果然是off 但是我輸入' 出去變\' 04/14 22:22
7F:→ justinC:為什麼會多了\ ? 04/14 22:23