代码审计 科普专线 编程开发

3
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。 PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展......

代码审计 编程开发

0
magic_quotes_gpc = get_magic_quotes_gpc();   @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslashes($_FILES); } function daddslashes($string, $force = 0) { if(!$GLOBALS[‘magic_quotes_gpc’] || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key......

渗透测试 编程开发

PHP开发web应用安全总结

发表于5年前 | 作者: seay

0
XSS跨站脚本 概念:恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 危害: 盗取用户COOKIE信息。 跳转到钓鱼网站。 操作受害者的浏览器,查看受害者网页浏览信息等。 蠕虫攻击。 描述:反射型跨站。GET或POST内容未过滤,可以提交JS以及HTML等恶意代码。 代码: <?php echo $_GET[‘msg’]; ?> //正常U......