尽管 PHP Magic Quotes 仍能成功进行 SQL 注入

发布于 2024-08-31 02:12:49 字数 343 浏览 4 评论 0原文

我一直读到 Magic Quotes 根本无法阻止 SQL 注入，但我不明白为什么不！举个例子，假设我们有以下查询：

SELECT * FROM tablename
  WHERE email='$x';

现在，如果用户输入 $x=' OR 1=1 --，则查询将为：

SELECT * FROM tablename
  WHERE email='\' OR 1=1 --';

反斜杠将由 Magic Quotes 添加没有造成任何损坏！

有没有一种方法我看不到用户可以绕过这里的魔术引用插入？

原文

I have always read that Magic Quotes do not stop SQL Injections at all but I am not able to understand why not! As an example, let's say we have the following query:

SELECT * FROM tablename
  WHERE email='$x';

Now, if the user input makes $x=' OR 1=1 --, the query would be:

SELECT * FROM tablename
  WHERE email='\' OR 1=1 --';

The backslash will be added by Magic Quotes with no damage done whatsoever!

Is there a way that I am not seeing where the user can bypass the Magic Quote insertions here?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

泅人 2024-09-07 02:12:49

技巧通常是传递一个二进制值，以便反斜杠成为有效多字节字符的一部分。这是一篇关于它的博客文章。

回复收藏 0 原文

~没有更多了~

关于作者

提赋

暂无简介

0 文章

0 评论

24 人气

关注发私信

巷子口的你

文章 0 评论 0

关注

微信用户

文章 0 评论 0

关注

神妖

文章 0 评论 0

关注

鞋纸虽美，但不合脚ㄋ〞

文章 0 评论 0

关注

7460852697

文章 0 评论 0

关注

ligengkai

文章 0 评论 0

友情链接

文江博客

尽管 PHP Magic Quotes 仍能成功进行 SQL 注入

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

巷子口的你

微信用户

神妖

鞋纸虽美，但不合脚ㄋ〞

7460852697

ligengkai

友情链接

尽管 PHP Magic Quotes 仍能成功进行 SQL 注入

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

巷子口的你

微信用户

神妖

鞋纸虽美，但不合脚ㄋ〞

7460852697

ligengkai

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。