Gemeinschaft Lernen Tools-Bibliothek Freizeit

Deutsch

Heim > Web-Frontend > js-Tutorial > php is_numberic函数造成的SQL注入漏洞_javascript技巧

php is_numberic函数造成的SQL注入漏洞_javascript技巧

WBOY

Freigeben： 2016-05-16 16:55:58

Original

1360 Leute haben es durchsucht

一、is_numberic函数简介
国内一部分CMS程序里面有用到过is_numberic函数，我们先看看这个函数的结构
bool is_numeric (mixed $var)
如果 var 是数字和数字字符串则返回 TRUE，否则返回 FALSE。
二、函数是否安全
接下来我们来看个例子，说明这个函数是否安全。

复制代码代码如下:

$s = is_numeric($_GET['s'])?$_GET['s']:0;
$sql="insert into test(type)values($s);";  //是 values($s) 不是values('$s')
mysql_query($sql);

上面这个片段程序是判断参数s是否为数字，是则返回数字，不是则返回0，然后带入数据库查询。（这样就构造不了sql语句）
我们把‘1 or 1' 转换为16进制 0x31206f722031 为s参数的值
程序运行后，我们查询数据库看看，如下图：
php is_numberic函数造成的SQL注入漏洞_javascript技巧

php is_numberic函数造成的SQL注入漏洞_javascript技巧

如果再重新查询这个表的字段出来，不做过滤带入另一个SQL语句，将会造成2次注入.
三、总结
尽量不要使用这函数，如果要使用这个函数，建议使用规范的sql语句,条件加入单引号，这样16进制0x31206f722031就会在数据库里显示出来。而不会出现1 or 1。

Verwandte Etiketten：

php

Quelle：php.cn

Vorheriger Artikel：JS对文本框值的判断示例_javascript技巧 Nächster Artikel：关于JavaScript对象的动态选择及遍历对象_javascript技巧

Erklärung dieser Website

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Neueste Artikel des Autors

Was ist eine NullPointerException und wie behebe ich sie?

2024-10-22 09:46:29
Vom Anfänger zum Programmierer: Ihre Reise beginnt mit C-Grundlagen

2024-10-13 13:53:41
Webentwicklung mit PHP freischalten: Ein Leitfaden für Anfänger

2024-10-12 12:15:51
C entmystifizieren: Ein klarer und einfacher Weg für neue Programmierer

2024-10-11 22:47:31
Entfalten Sie Ihr Programmierpotenzial: C-Programmierung für absolute Anfänger

2024-10-11 19:36:51
Entfesseln Sie Ihren inneren Programmierer: C für absolute Anfänger

2024-10-11 15:50:41
Automatisieren Sie Ihr Leben mit C: Skripte und Tools für Anfänger

2024-10-11 15:07:41
PHP leicht gemacht: Ihre ersten Schritte in der Webentwicklung

2024-10-11 14:21:21
Erstellen Sie alles mit Python: Ein Leitfaden für Anfänger, um Ihrer Kreativität freien Lauf zu lassen

2024-10-11 12:59:11
Der Schlüssel zum Programmieren: Die Leistungsfähigkeit von Python für Anfänger freischalten

2024-10-11 12:17:31

Aktuelle Ausgaben

Aus URL-Parametern erhaltene PHP-Arrays verhalten sich nicht wie erwartet Ich habe einen URL-Parameter, der die Kategorie-ID enthält, und ich möchte ihn als Array w...

Aus 2024-04-06 22:09:02

0

1

1428

Wo soll ich die CustomLog-Direktive in Apache platzieren? Ich verwende php:7.2-apachedocker. Ich muss das URL-Anmeldezugriffsprotokoll zur Gesundhei...

Aus 2024-04-06 22:03:59

0

1

990

Welches Format haben die Variablen im Rückgabewert? Ich bin ein PHP-Neuling. Ich habe einen Code gefunden: if($x<time()){return[false,'erro...

Aus 2024-04-06 21:55:20

0

1

778

Bei der Verwendung von opentbs zum Generieren von ODT-Dateien sind Probleme aufgetreten: Werte desselben Schlüssels werden in derselben Zeile statt in separaten Spalten angezeigt. Ich verwende eine Bibliothek namens OpenTbs, um ODT mit PHP zu erstellen. Ich verwende sie...

Aus 2024-04-06 20:18:18

0

1

483

Gruppieren Sie MySQL-Ergebnisse nach ID für die Schleife Ich habe eine Tabelle mit Flugdaten in MySQL. Ich schreibe einen PHP-Code, der Daten mithi...

Aus 2024-04-06 17:27:56

0

1

406

verwandte Themen

Mehr>

Beliebte Empfehlungen

Beliebte Tutorials

Mehr>

Verwandte Tutorials

Beliebte Empfehlungen

Aktuelle Kurse

Neueste Downloads

Mehr>

Web-Effekte

Quellcode der Website

Website-Materialien

Frontend-Vorlage