PHP中使用addslashes函數(shù)轉(zhuǎn)義的安全性原理分析

更新時間：2014年11月03日 10:48:12 投稿：shichen2014

這篇文章主要介紹了PHP中使用addslashes函數(shù)轉(zhuǎn)義的安全性原理分析,較為深入的分析了addslashes函數(shù)的用法及ecshop自定義函數(shù)addslashes_deep的不足之處,非常具有實用價值,需要的朋友可以參考下

本文實例講述了PHP中使用addslashes函數(shù)轉(zhuǎn)義的安全性原理分析。分享給大家供大家參考。具體分析如下：

先來看一下ECshop中addslashes_deep的原型

復(fù)制代碼代碼如下:

function addslashes_deep($value) {

    if (empty($value)) {

        return $value;  //如為空，直接返回;

    } else {

        return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);

    }  //遞歸處理數(shù)組，直至遍歷所有數(shù)組元素;

}

addslashes_deep函數(shù)本身沒有問題，但使用時得注意一點
恰好今天也是在網(wǎng)上看到了有人發(fā)了關(guān)于使用這個函數(shù)使用的BUG注入漏洞
這個函數(shù)在引用回調(diào)函數(shù)addslashes時，只對數(shù)據(jù)的值進行轉(zhuǎn)義，所以如果使用者在此過程中引用數(shù)組的鍵進行特定處理時，存在$key注入風(fēng)險，此時可更改addslashes_deep函數(shù)，使其同時對鍵值進行轉(zhuǎn)義，或者使用時明確不引用鍵內(nèi)容。

希望本文所述對大家的PHP程序設(shè)計有所幫助。

您可能感興趣的文章:

相關(guān)文章

詳解配置 Apache 服務(wù)器支持 PHP 文件的解析
這篇文章主要介紹了詳解配置 Apache 服務(wù)器支持 PHP 文件的解析的相關(guān)資料,需要的朋友可以參考下
2017-02-02
PHP 與 UTF-8 的最佳實踐詳細介紹
這篇文章主要介紹了PHP 與 UTF-8 的最佳實踐詳細介紹的相關(guān)資料,需要的朋友可以參考下
2017-01-01
ThinPHP無法加載模塊問題的解決方案
ThinPHP是一個輕量級的PHP框架,它提供了一種簡單的方式來開發(fā)Web應(yīng)用程序,然而,有時候我們可能會遇到ThinPHP無法加載模塊的問題,這可能是由于多種原因?qū)е碌?本文將詳細介紹如何解決這個問題,需要的朋友可以參考下
2023-12-12
php使用glob函數(shù)遍歷文件和目錄詳解
這篇文章主要介紹了php使用glob函數(shù)遍歷文件和目錄詳解的相關(guān)資料,需要的朋友可以參考下
2016-09-09
php實現(xiàn)的redis緩存類定義與使用方法示例
這篇文章主要介紹了php實現(xiàn)的redis緩存類,結(jié)合具體實例形式分析了php封裝的針對redis緩存類定義與使用相關(guān)操作技巧,需要的朋友可以參考下
2017-08-08
php解決跨域問題的方法詳解
跨域的嚴(yán)格一點來說就是只要協(xié)議,域名,端口有任何一個的不同,就被當(dāng)作是跨域,這篇文章主要為大家詳細介紹了php解決跨域問題的相關(guān)方法,需要的可以參考下
2024-04-04
php跨域檢測類允許部分域名訪問的示例詳解
PHP跨域檢測類是一種封裝了跨域檢測邏輯的PHP類,它可以用于在PHP應(yīng)用程序中檢測和處理跨域請求,以確保安全和正常的跨域通信,本文給出了示例給大家介紹php如何允許部分域名訪問,需要的朋友可以參考下
2023-12-12
深入理解PHP原理之Session Gc的一個小概率Notice
PHP Notice: session_start(): ps_files_cleanup_dir
2011-04-04
php中取得URL的根域名的代碼
php中取得URL的根域名的代碼，需要的朋友可以參考下。
2011-03-03
Windows下的PHP5.0詳解
Windows下的PHP5.0詳解...
2006-11-11