长天 发表于 2007 年 1 月 29 日 19:20:17

原帖由 我踏MJ而来 于 2007-1-29 19:19 发表
..你那个不是注入,对那些URL之类的要php正则匹配或者htmlspecialchars转码

呵呵
哦,明白了

winsock 发表于 2007 年 1 月 29 日 19:28:04

原帖由 我踏MJ而来 于 2007-1-29 18:54 发表
是字符窜,如果没打开magic_quotes_gpc,那么字符窜就不会自动addslashes....如果select * from stat=\'$var1\',那么只要字符窜是\' or uid=1 and \'a\'=\'a就成了注入...不过一般要么gpc自动addslashes,要么人工addsl ...

宝宝,addslashes不能解决 ; 号的注入, 你骗我买的那书上介绍有

我踏MJ而来 发表于 2007 年 1 月 29 日 19:29:21

原帖由 winsock 于 2007-1-29 19:28 发表


宝宝,addslashes不能解决 ; 号的注入, 你骗我买的那书上介绍有
包包..你那本书8系送淫了么..

winsock 发表于 2007 年 1 月 29 日 19:31:37

原帖由 我踏MJ而来 于 2007-1-29 19:29 发表

包包..你那本书8系送淫了么..

不是送了,是卖了,所以我现在才说不出具体第几页, 反正在mysql那一节

我踏MJ而来 发表于 2007 年 1 月 29 日 19:32:11

原帖由 winsock 于 2007-1-29 19:31 发表


不是送了,是卖了,所以我现在才说不出具体第几页, 反正在mysql那一节
那本书上面说用
mysqli_escape_string,还要再替换一些,不过一般不复杂的查询用addslashes也够了,DZ也就用addslashes

[ 本帖最后由 我踏MJ而来 于 2007-1-29 19:34 编辑 ]

长天 发表于 2007 年 1 月 29 日 19:37:15

哇咔咔,宝宝
是什么书,介绍一下

我踏MJ而来 发表于 2007 年 1 月 29 日 19:39:34

php和mysql web应用开发核心技术..:L建议表买,这书木看头..偶和大兵宝宝狠后悔..........

winsock 发表于 2007 年 1 月 29 日 19:43:52

原帖由 我踏MJ而来 于 2007-1-29 19:39 发表
php和mysql web应用开发核心技术..:L建议表买,这书木看头..偶和大兵宝宝狠后悔..........

宝宝,你终于承认那本书 垃圾 了,老子当年说那本书 垃圾, 你还死不承认。

我踏MJ而来 发表于 2007 年 1 月 29 日 19:45:40

原帖由 winsock 于 2007-1-29 19:43 发表


宝宝,你终于承认那本书 垃圾 了,老子当年说那本书 垃圾, 你还死不承认。
:L 大兵包包,哥哥送你..
public class dabing {
   string name;
   public string name {
      get {
      return "mujj";
      }
      set {
      name="mujj"
      }
   }
}

破晓 发表于 2007 年 1 月 29 日 21:07:40

我好笨阿
最简单!!!
把所有字符串用简单的加密法则加密,例如md5!
然后比对!!
还怕用密码框注入鸟?
页: 1 [2] 3
查看完整版本: 用REPLACE函数防注入(麻烦别灌水。)