背景: php自5.3版本开始废除set_magic_quotes_runtime函数,并在5.4及以后版本中移除了该函数 今天程序在向mysql插入一个serialize序列化后的数组时,由于一个数组元素带单引号,导致了插入不成功. if($_POST){ $id=intval($_POST['id']); $add['title']=htmlspecialchars($_POST['title']); $add['desc']=htmlspecialchars($_POST['desc'])…

首先大家可以简单了解下什么是转义字符?有什么用? 转义字符是一种特殊的字符常量.转义字符以反斜线"\"开头,后跟一个或几个字符.转义字符具有特定的含义,不同于字符原有的意义,故称“转义”字符. 转义字符的用处: 1:将普通字符转为特殊用途,如后退键,回车键等. 2:用来将特殊意义的字符转换回它原来的意义. 3:在数据写入数据库前,都会使用转义字符(函数)对一些敏感字符进行转义.避免网站被注入攻击. 那么我们在PHP开发项目过程中,可能就会遇到需要将大量数据进行转义的操作. 下面我们就通…

首先大家可以简单了解下什么是转义字符?有什么用? 转义字符是一种特殊的字符常量.转义字符以反斜线"\"开头,后跟一个或几个字符.转义字符具有特定的含义,不同于字符原有的意义,故称“转义”字符. 转义字符的用处: 1:将普通字符转为特殊用途,如后退键,回车键等. 2:用来将特殊意义的字符转换回它原来的意义. 3:在数据写入数据库前,都会使用转义字符(函数)对一些敏感字符进行转义.避免网站被注入攻击.坪山大理石平台 那么我们在PHP开发项目过程中,可能就会遇到需要将大量数据进行转义的操作.…

1.PHP函数之判断函数是否存在 当我们创建了自定义函数,并且了解了可变函数的用法,为了确保程序调用的函数是存在的,经常会先使用function_exists判断一下函数是否存在.同样的method_exists可以用来检测类的方法是否存在. function func() { } if (function_exists('func')){ echo 'exists'; } 类是否定义可以使用class_exists class MyClass{ } // 使用前检查类是否存在 if (clas…

为了防止SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes.(php.ini magic_quotes_gpc).如果magic_quotes_gpc选项启用,那么输入的字符串中的单引号,双引号和其它一些字符前将会被自动加 上反斜杠. 但Magic Quotes并不是一个很通用的解决方案,没能屏蔽所有有潜在危险的字符,并且在许多服务器上Magic Quotes并没有被启用.所以,我们还需要使用其它多种方法来防止SQL…

catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 filter.inc.php这个文件在系统配置文件之后,里面有foreach循环创建变量,所以可以覆盖系统变量 . 在magic_quotes_gpc=off的时候可以绕过_RunMagicQuotes的过滤 xxx.php?site=LittleHann’s blog . 经过common.inc.php $LittleHann = LittleHann\’s blo…

sql 语句 数据库 本身 有数据类型的区分,对于mysql的字符串默认的用单引号''来表示,因此,整个sql 语句就要用双引号来括. 如: $sql = "SELECT * FROM user_verify WHERE username='". $_POST['user']. "' AND passwd='".$_POST['pw']."' limit 1"; 为了防止sql注入攻击,如畸形密码,foo用户名,密码 ' or '1'='1 'o…

PHP学习笔记 - 进阶篇(4) 字符串操作 字符串介绍 PHP开发中,我们遇到最多的可能就是字符串. 字符串变量用于包含字符串的值. 一个字符串 通过下面的3种方法来定义: 1.单引号 2.双引号 3.heredoc语法结构 基本用法如下,后面的节还会详细进行介绍使用技巧,这里只介绍用法: 单引号定义的字符串:$hello = 'hello world'; 双引号定义的字符串:$hello = "hello world"; heredoc语法结构定义的字符串: $hello = &l…

数组 PHP有两种数组:索引数组.关联数组. 函数 自定义函数 自定义函数通过将一组代码封装起来,使代码进行复用,程序结构与逻辑更加清晰 返回值 使用return关键字可以使函数返回值,可以返回包括数组和对象的任意类型,如果省略了 return,则默认返回值为 NULL. 可变函数 所谓可变函数,即通过变量的值来调用函数,因为变量的值是可变的,所以可以通过改变一个变量的值来实现调用不同的函数.经常会用在回调函数.函数列表,或者根据动态参数来调用不同的函数.可变函数的调用方法为变量名加括号. 内置…

PHP 的字符串处理功能非常强大,主要包括: 字符串输出 echo():输出一个或多个字符串 print():输出一个字符串 printf():输出格式化字符串 字符串去除 trim():去除字符串 首尾 空白等特殊符号或指定字符序列 ltrim():去除字符串 首 空白等特殊符号或指定字符序列 rtrim():去除字符串 尾 空白等特殊符号或指定字符序列 chop():同 rtrim() 字符串连接 implode():使用字符将数组的内容组合成一个字符串 join():同 implode()…