新普京网站-澳门新普京 > 新普京网站 > php is_numberic函数造成的SQL注入漏洞_javascript技巧_脚本之家

php is_numberic函数造成的SQL注入漏洞_javascript技巧_脚本之家

2019/12/30 02:34

一、is_numberic函数简单介绍境内有的CMS程序里面有用到过is_numberic函数,我们先看看这么些函数的布局bool is_numeric 借使 var 是数字和数字字符串则赶回 TRUE,不然重回FALSE。二、函数是还是不是平安接下去大家来看个例子,表明那个函数是还是不是安全。复制代码 代码如下:$s = is_numeric?$_GET['s']:0;$sql="insert into test;"; //是 valuesmysql_query;下面那些片段程序是判断参数s是不是为数字,是则赶回数字,不是则再次回到0,然后带入数据库查询。我们把‘1 or 1' 调换为16进制 0x31206f722031 为s参数的值程序运转后,我们查询数据库看看,如下图:假设再重复查询这几个表的字段出来,不做过滤带入另二个SQL语句,将会导致2次注入.三、 总结不遗余力不要使用那函数,即便要运用这么些函数,提议使用正规的sql语句,条件加入单引号,那样16进制0x31206f722031就能在数据Curry显示出来。而不会现出1 or 1。

上一篇:JS中怎么样判断传过来的JSON数据中是还是不是留存某字段 下一篇:Jquery实现自定义弹窗示例_jquery_脚本之家【澳门新普京】