dongyou5098 2013-04-07 10:21
浏览 43

striplashes安全测试

I am testing how secure is to use stripslashes()

I tried the following :

  $str = chr(0xbf) . chr(0x27);

  var_dump(stripslashes($str)); // string(2) " �' "

Then I changed it to this :

  $str = $_POST['input']; // %bf%27;

  var_dump(stripslashes($str)); // string(3) " �'' "

Then I used curl to send input data :

  curl_setopt($ch, CURLOPT_POSTFIELDS, 'input=' . chr(0xbf) . chr(0x27));

but again result was : string(3) " �'' "

Is it possible to get result as in First example when data is received from another server? Will it be secure to use stripslashes() ?

  • 写回答

1条回答 默认 最新

  • duanhe8280 2013-04-07 17:01
    关注

    You're asking two questions here:

    On the security of stripslashes

    stripslashes() is not really a secure way of handling input (that goes to a database, i assume). There are too many variables involved, like

    • Target Database System
    • Encoding of the database connection
    • Easy-to-miss programmer errors

    On receiving POST data

    Try the following file. It should serve as a basic test case for what you are investigating. I so far cannot reproduce the problem that you described.

    test.php

    <html>
<head></head>
<body>
<form method="POST" action="test.php">
<input type="text" name="input"></input>
<input type="submit" value="Submit"></input>
</form>

<?php 

$string = chr(0xbf) . chr(0x27); // yields string '¿'' (length=2)
$input = $_POST['input'];

foreach (array($string, $input) as $s) {
  var_dump(stripslashes($s));
  var_dump($s);
}

?>
</html>

    The results that you get strongly point to an encoding problem.

    评论

报告相同问题?

  • 为什么striplashes不会在没有斜杠的情况下返回数据? php
    2015-06-08 13:45
    回答 1 已采纳 In your HTML: <input type="text" name="username" value=<?php echo $username; ?>/> Y
  • PHP => $ _SESSION数组仅保留最后一个变量 php
    2017-07-05 11:28
    回答 3 已采纳 You could push directly into the session like this if ($_SERVER['REQUEST_METHOD'] == 'POST') {
  • DVWA靶场XSS三种类型漏洞练习
    2021-05-14 17:41
    c_programj的博客 DVWA靶场XSS三种漏洞练习反射型XSS(非持久性)【low】【Medium】【High】【Impossible】存储型XSS(持久性)【Low】【Medium】【High】...php header ("X-XSS-Protection: 0"); // Is there any input? if
  • php函数总结
    2020-07-29 22:32
    一觀者也的博客 addcslashes 说明 addcslashes ( string $str ) 在指定字符前添加反斜线转义字符串中字符 stripcslashes 说明 striplashes ( string $str ) 删除addcslashes()添加的反斜线 ord 说明 ord ( string $string ) 返回...
  • 字符串操作 php
    2018-10-25 11:19
    ws123456t的博客 1,自动转义、还原字符串数据 addslashes()函数的作用是使用反斜线引用字符串 addslashes(要转义的字符)--...select*from tb_book where bookname = 'php从入门到精通'"; echo $str."&lt;br/&gt;...
  • php序列化后小数点化数,php – 布尔值和整数是序列化后的字符串
    2021-04-12 14:50
    zurkorm的博客 striplashes只有字符串类型meta_keys. 对wordpress 3.6.0或更高版本的更新将解决该问题. 标签:wordpress,php,serialization,boolean,metadata 来源: https://codeday.me/bug/20190529/1176550.html
  • php时间提前交到数据库 不显示,什么时候在存储到数据库中或显示它之前清理PHP和MySQL代码?...
    2021-03-22 10:55
    ezarWu的博客 好吧,我想知道什么时候应该清理我的代码,当我将... 如果magic_quotes打开,您可能需要对从数据库检索到的数据使用striplashes()以正确显示给用户 标签:php,mysql 来源: https://codeday.me/bug/20190606/1190273.html
  • PHP常见的漏洞
    2018-03-08 10:54
    weixin_34167819的博客 测试环境要求 ------------------------*/ else if ($step == 2) // 我们直接提交step为2 就不check lock了 { $phpv = @ phpversion(); $sp_os = $_ENV["OS"]; $sp_gd = @ gdversion(); $sp_server = $_...
  • php中的addslashes函数
    2010-04-15 09:43
    hongyi1159的博客 昨天在看我的google快讯时看到了php中的这个函数,发现我好像对这个函数不是特别的了解吗 查看了手册,发现了这个函数主要是转义了数据库中的特殊字符,比如 单引号 " 双引号等在数据库中的特殊的字符 当然了这个...
  • php常见的问题[转载自原乌云]
    2017-07-14 17:07
    weixin_30725315的博客 PHP常见的漏洞 ′ 雨。·2015/01/14 10:08 0x00 前言 里面很多都是像laterain学习到的, 如果能考上cuit的话 自动献菊花了。 0x01 安装的问题 首先拿到一份源码 肯定是先install上。 而在安装文件上又会...
  • 字符串处理
    2019-10-07 07:52
    dichan2004的博客 striplashes() 除去斜杠。(strip 出去,剥去) 例如: before addlashes :  this is a " after addlashes: this is a \" after striplashes : this is a " 该函数功能由配置指令控制: magic_quotes_qpc (qpc...
  • PHP代码审计
    2022-03-31 10:29
    myh0st@信安之路的博客 代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。 PHP代码审计 审计套路 通读全文法 (麻烦,但是最全面) 敏感函数参数回溯法 (最高效,...
  • 转义
    2018-10-24 20:31
    ws123456t的博客 1,自动转义、还原字符串数据 addslashes()函数的作用是使用反斜线引用字符串 addslashes(要转义的字符)--...select*from tb_book where bookname = 'php从入门到精通'"; echo $str."&lt;br/&gt;...
  • TOP10_SQL
    2017-04-17 22:22
    从来不在调的博客 图三,首先利用striplashes删除反斜杠,在进行转移。含义就是你可以利用反斜杠绕过图二的过滤。具体我们分别来看:  图一:输入 admin’ or ’ 1=1– 能够成功绕过  图二:绕过图二的防御可以利用编码 0x27...
  • 第四章 字符串操作与正则表达式(2)
    2016-07-26 21:36
    weixin_30608503的博客  3,striplashes()函数: string   stripcslashes  (   string   $str  ) 。调用这个函数后,会移除反斜杠,例如: # addslashes() $str = "Is your name O'Reilly?" ; echo addslashes ( $str ); ...
  • Day3_字符串操作与正则表达式
    2014-10-09 16:13
    weixin_33714884的博客 特殊字符转义:addlashes() striplashes() 连接与分割字符串 按指定分隔符分隔:explode() 分隔字符串到数组; strtok()查找当前分隔出的字符串片段 连接字符串:implode() 取字符串的一部分:substr() 按...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥100 嵌入式系统基于PIC16F882和热敏电阻的数字温度计
  • ¥20 BAPI_PR_CHANGE how to add account assignment information for service line
  • ¥500 火焰左右视图、视差(基于双目相机)
  • ¥100 set_link_state
  • ¥15 虚幻5 UE美术毛发渲染
  • ¥15 CVRP 图论 物流运输优化
  • ¥15 Tableau online 嵌入ppt失败
  • ¥100 支付宝网页转账系统不识别账号
  • ¥15 基于单片机的靶位控制系统
  • ¥15 真我手机蓝牙传输进度消息被关闭了,怎么打开?(关键词-消息通知)