• 74阅读
  • 1回复

php.ini中Magic_Quotes_Gpc开关设置

楼层直达
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(\\),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。 g{:<2xI5P  
但是,上面的方法只适用于magic_quotes_gpc=Off的情况。作为一个开发者,你不知道每个用户的magic_quotes_gpc是On还是Off,如果把全部的数据都用上addslashes(),那不是“滥杀无辜”了?假如magic_quotes_gpc=On,并且又用了addslashes()函数,那让我们来看看: wJ+Aw  
php ]N{0:Va@D  
//如果从表单提交一个变量$_POST['message'],内容为 Tom's book k\`S lb1  
//这此加入连接MySQL数据库的代码,自己写吧 sEc;!L  
//在$_POST['message']的敏感字符前加上反斜杠 qe$^q  
$_POST['message'] = addslashes($_POST['message']); Q{g;J`Z)p  
U/l?>lOD\  
//由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠 g'$tj&Vk:  
$sql = "Insert INTO msg_table VALUE('$_POST[message]');"; `D$Jv N  
J%H;%ROx  
//发送请求,把内容保存到数据库内 R(Kk{c:-@  
$query = mysql_query($sql); *f%>YxF  
*hLQ  
//如果你再从数据库内提取这个记录并输出,就会看到 Tom\\'s book 2d>hi32I  
?> a|7a_s4(  
1 rs&74-  
这样的话,在magic_quotes_gpc=On的环境里,所有输入的单引号(')都会变成(\\')…… WI> P-D  
其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时,该函数返回TRUE;当magic_quotes_gpc=Off时,返回FALSE。至此,肯定已经有不少人意识到:问题已经解决。请看代码: q#w8wH"  
php /H7&AiA  
//如果magic_quotes_gpc=Off,那就为提单提交的$_POST['message']里的敏感字符加反斜杠 lKWPTCU  
//magic_quotes_gpc=On的情况下,则不加 7\]E~/g  
if (!get_magic_quotes_gpc()) { /S5| wNu  
$_POST['message'] = addslashes($_POST['message']); ~lNsa".c  
} else {} tE6!+c<7  
?> zDhB{3-Q1{  
其实说到这里,问题已经解决。下面再说一个小技巧。 GdV1^`M6  
有时表单提交的变量不止一个,可能有十几个,几十个。那么一次一次地复制/粘帖addslashes(),是否麻烦了一点?由于从表单或URL获取的数据都是以数组形式出现的,如$_POST、$_GET)那就自定义一个可以“横扫千军”的函数: 7dsefNPb  
php sGh(#A0Pt  
function quotes($content) n  -(  
{ T91moRv  
//如果magic_quotes_gpc=Off,那么就开始处理 Zo1,1O  
if (!get_magic_quotes_gpc()) { bR@p<;G|  
//判断$content是否为数组 `al<(FwGE  
if (is_array($content)) { {(r6e  
//如果$content是数组,那么就处理它的每一个单无 =zQN[  
foreach ($content as $key=>$value) { 9tF9T\jW  
$content[$key] = addslashes($value); RKPO#qju\F  
} /Q,mJ.CnSR  
} else { B)d(TP,>  
//如果$content不是数组,那么就仅处理一次 ,VO2a mI  
addslashes($content); E>l~-PaZY  
} '],J$ge  
} else { ,v"YqD+GC5  
//如果magic_quotes_gpc=On,那么就不处理 c38D}k^):  
} '- zD  
//返回$content om1eQp0N  
return $content; >y"+ -7V)  
} 0Vx.nUQ  
?> YPxM<Gfa8  
 
只看该作者 安逸沙发  发表于: 10-28
浅谈开启magic_quotes_gpc后的sql注入攻与防 $(2c0S{1  
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。 x;RjLI4h  
4<`x*8` ,  
       开启magic_quotes_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。 gE,i Cx  
0:(`t~  
       虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。 {FR#je  
nwd 02tu  
       前面已经提到过,开启magic_quotes_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。 ~jd:3ip+!  
=rj5 q  
       实例演示: &i`\`6 q  
xg~ Baun  
       假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quotes_gpc启用。 }r&^*" 2=  
~+VIELU<%  
       SQL语句:sql="select∗fromuserswhereusername=name and password='pwd′";注意:变量name没加引号 EP#3+B sH  
]Mv.Rul?~  
       此时,在地址栏中输入username=admin%23,则合成后的sql语句为: iMnp `:*  
&Y"u*)bm  
  select * from users where username='admin\' #' and password=''; YPAMf&jEF  
P@ '<OI  
  这时候通过url地址栏输入的单引号(’)将被加上反斜线,该sql语句将失效。 u\zRWX  
Oy$*ZG)  
  admin转换成ASCII后是char(97,100,109,105,110) CuPZ0  
' jFSv|g+0  
  此时在地址栏中输入username=char(97,100,109,105,110)%23 B8z3W9  
pR2QS  
  SQL语句就变成了: #_{3W-35*  
UJ1Ui'a(!!  
  select * from users where username=char(97,100,109,105,110)#' and password=''; xZt]s3?  
g W'aK>*c  
  执行结果为真,就可以顺利进入后台。 c[@-&o`  
o Y_(UIa  
  对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。 zN JK+_O=  
~a&s5E {  
  比如:id=intval(_GET[‘id’]); V%?oI]" l  
%..{c#V  
  select * from articles where id=’$id’; SnVIV%  
6sBS;+C  
  地址栏中输入:id=5’ or 1=1%23 o~H4<ayy  
bb[.Kvq5  
  SQL语句将变成:select * from articles where id=’5’; @#Jc!p7)  
j?4k{?x  
  而不是select * from articles where id=’5’ or 1=1#; qsn6i%VH  
zb Z0BD7e  
总结: s QfP8}U  
P31}O2 Nh  
对于每一个变量都记得加上单引号,比如where username=’$name’, ~]BxM9  
开启magic_quotes_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字
快速回复

限100 字节
安逸网提示:如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
认证码:
上一个 下一个