• 422阅读
  • 1回复

php.ini中Magic_Quotes_Gpc开关设置

楼层直达
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(\\),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。 8?G534*r@2  
但是,上面的方法只适用于magic_quotes_gpc=Off的情况。作为一个开发者,你不知道每个用户的magic_quotes_gpc是On还是Off,如果把全部的数据都用上addslashes(),那不是“滥杀无辜”了?假如magic_quotes_gpc=On,并且又用了addslashes()函数,那让我们来看看: )|`w;F>  
php 0xzS9  
//如果从表单提交一个变量$_POST['message'],内容为 Tom's book nD}CQ_C  
//这此加入连接MySQL数据库的代码,自己写吧 6rh^?B  
//在$_POST['message']的敏感字符前加上反斜杠 U$EQeb  
$_POST['message'] = addslashes($_POST['message']); j7 \y1$w  
U@"f(YL+"  
//由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠 #iAw/a0&  
$sql = "Insert INTO msg_table VALUE('$_POST[message]');"; UsnIx54D3  
m?`?T   
//发送请求,把内容保存到数据库内 4C`p`AQqpQ  
$query = mysql_query($sql); x?n13C  
vhL/L?NB$  
//如果你再从数据库内提取这个记录并输出,就会看到 Tom\\'s book xAu&O\V  
?> /(?,S{]  
>m4HCs>  
这样的话,在magic_quotes_gpc=On的环境里,所有输入的单引号(')都会变成(\\')…… Ag_I'   
其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时,该函数返回TRUE;当magic_quotes_gpc=Off时,返回FALSE。至此,肯定已经有不少人意识到:问题已经解决。请看代码: i1DJ0xC]  
php 9 $ Ud\   
//如果magic_quotes_gpc=Off,那就为提单提交的$_POST['message']里的敏感字符加反斜杠 'WcP+4c  
//magic_quotes_gpc=On的情况下,则不加 V[avV*;3i  
if (!get_magic_quotes_gpc()) { 5v5K}hx  
$_POST['message'] = addslashes($_POST['message']); 9y`Vg  
} else {} Oi,:q&  
?> Gp}}M Gk  
其实说到这里,问题已经解决。下面再说一个小技巧。 A)641"[  
有时表单提交的变量不止一个,可能有十几个,几十个。那么一次一次地复制/粘帖addslashes(),是否麻烦了一点?由于从表单或URL获取的数据都是以数组形式出现的,如$_POST、$_GET)那就自定义一个可以“横扫千军”的函数: 1 2J#}|  
php 1D2Yued  
function quotes($content) 3mH(@ -OA  
{ Nj$h/P  
//如果magic_quotes_gpc=Off,那么就开始处理 +JPHQx'W  
if (!get_magic_quotes_gpc()) { "Is0:au+?}  
//判断$content是否为数组 Z=[?T f  
if (is_array($content)) { qL/XGIxL?  
//如果$content是数组,那么就处理它的每一个单无 `xie/  
foreach ($content as $key=>$value) { faPgp  
$content[$key] = addslashes($value); w0Y V87  
} r>;6>ZMe  
} else { kC=h[<'  
//如果$content不是数组,那么就仅处理一次 "t:9jU  
addslashes($content); n}toUqUnk\  
} Y^9b>H\2  
} else { K4j2xSGeo  
//如果magic_quotes_gpc=On,那么就不处理 <v[UYvZvY  
} ;/)u/[KAv  
//返回$content 7MhN>a;A\  
return $content; 6}^6+@LG  
} Oj0,Urs7  
?> T;Zv^:]0  
 
只看该作者 安逸沙发  发表于: 2019-10-28
浅谈开启magic_quotes_gpc后的sql注入攻与防 jHH  
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。 &hN&nH"PC  
~88 Tz+  
       开启magic_quotes_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。 j9ta0~x1*6  
6^O?p2xpo  
       虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。 DhNo +"!z  
%K'*P56  
       前面已经提到过,开启magic_quotes_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。 FJ~_0E#L  
yI.H4Dl<  
       实例演示: &17,]#3  
)]>G,.9C}  
       假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quotes_gpc启用。 h Yc{ 9$  
S~Iw?SK3  
       SQL语句:sql="select∗fromuserswhereusername=name and password='pwd′";注意:变量name没加引号 I.+)sB?5  
b2X'AHK S  
       此时,在地址栏中输入username=admin%23,则合成后的sql语句为: (GEi<\16[  
)^f9[5ee  
  select * from users where username='admin\' #' and password=''; ix7 e] )m(  
GGc_9?h  
  这时候通过url地址栏输入的单引号(’)将被加上反斜线,该sql语句将失效。 'SU9NQS  
j(6$7+2qN  
  admin转换成ASCII后是char(97,100,109,105,110) R #3Q$   
f'6qJk%J  
  此时在地址栏中输入username=char(97,100,109,105,110)%23 R^yZG{?t  
6+ $d  
  SQL语句就变成了: frmqBCVJ:  
W]D`f8r9  
  select * from users where username=char(97,100,109,105,110)#' and password=''; ))IgB).3M  
o%+A<Ri  
  执行结果为真,就可以顺利进入后台。 Krr?`n  
"T{~,'T  
  对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。 Ztyv@z'/Z  
}^pQbFku  
  比如:id=intval(_GET[‘id’]); _7=pw5[  
)-.Cne;n  
  select * from articles where id=’$id’; N{^>MRK=5  
zY+t,2z  
  地址栏中输入:id=5’ or 1=1%23 WAwfL?  
h nsa)@  
  SQL语句将变成:select * from articles where id=’5’; V5yxQb  
]@/^_f>D  
  而不是select * from articles where id=’5’ or 1=1#; mo|PrLV  
9B+ zJ Vte  
总结: _b!;(~ @p  
6VH90KAT  
对于每一个变量都记得加上单引号,比如where username=’$name’, !bZhj3.  
开启magic_quotes_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字
快速回复

限100 字节
安逸网提示:批量上传需要先选择文件,再选择上传
 
认证码:
上一个 下一个