communauté Apprendre Bibliothèque d'outils Loisirs
recherche
Français
Maison > interface Web > js tutoriel > Vulnérabilité d'injection SQL causée par les compétences php is_numberic function_javascript

Vulnérabilité d'injection SQL causée par les compétences php is_numberic function_javascript

WBOY
Libérer: 2016-05-16 16:55:58
original
1360 Les gens l'ont consulté

1. Introduction à la fonction is_numberic
La fonction is_numberic est utilisée dans certains programmes CMS nationaux. Examinons d'abord la structure de cette fonction
bool is_numeric (mixed $var)
If renvoie VRAI si var est un nombre ou une chaîne numérique, sinon renvoie FAUX.
2. La fonction est-elle sûre ?
Regardons ensuite un exemple pour illustrer si cette fonction est sûre.

Copier le code Le code est le suivant :
$s = is_numeric($_GET['s'] )?$ _GET['s']:0;
$sql="insérer dans test(type)values($s);" //Ce sont des valeurs($s), pas des valeurs('$s' )
mysql_query ($sql);

Le programme de fragment ci-dessus sert à déterminer si le paramètre s est un nombre. Si c'est le cas, il renverra un nombre, sinon, il renverra 0, et. il sera ensuite introduit dans la base de données pour interrogation. (De cette façon, l'instruction SQL ne peut pas être construite)
Nous convertissons '1 ou 1' en hexadécimal 0x31206f722031 comme valeur du paramètre s
Une fois le programme exécuté, nous interrogeons la base de données, comme indiqué ci-dessous :
Vulnérabilité d'injection SQL causée par les compétences php is_numberic function_javascript
Si vous réinterrogez les champs de cette table et introduisez une autre instruction SQL sans filtrage, cela provoquera deux injections.
Résumé
Essayez. Pour ne pas utiliser cette fonction, si vous souhaitez utiliser cette fonction, il est recommandé d'utiliser des instructions SQL standard et d'ajouter des guillemets simples aux conditions, afin que le nombre hexadécimal 0x31206f722031 soit affiché dans la base de données. Il n’y en aura pas 1 ou 1.
Étiquettes associées:
php
source:php.cn
Article précédent:Exemple de jugement JS des compétences de la zone de texte value_javascript Article suivant:À propos de la sélection dynamique d'objets JavaScript et des compétences de parcours d'objets_javascript
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
Les tableaux PHP obtenus à partir des paramètres d'URL ne se comportent pas comme prévu J'ai un paramètre d'URL qui contient l'identifiant de la catégorie et je souhaite le trait...
Depuis 2024-04-06 22:09:02
0
1
1428
Où dois-je placer la directive CustomLog dans Apache J'utilise php:7.2-apachedocker. Je dois désactiver le journal d'accès à la connexion à l'U...
Depuis 2024-04-06 22:03:59
0
1
990
Quel est le format des variables dans la valeur de retour ? Je suis un nouvel apprenant de php. J'ai trouvé un morceau de code : if($x<time()){retu...
Depuis 2024-04-06 21:55:20
0
1
778
Problèmes rencontrés lors de l'utilisation d'opentbs pour générer des fichiers odt : les valeurs d'une même clé sont affichées dans la même ligne au lieu de colonnes séparées. J'utilise une bibliothèque appelée OpenTbs pour créer odt en utilisant PHP, je l'utilise c...
Depuis 2024-04-06 20:18:18
0
1
483
Regrouper les résultats MySQL par ID pour effectuer une boucle J'ai une table avec des données de vol dans MySQL. J'écris un code php qui regroupera et a...
Depuis 2024-04-06 17:27:56
0
1
406
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal