作者st1009 (前端攻城师)
看板PHP
标题[请益] PHP字元溢位(OverFlow)
时间Tue Oct 27 21:03:28 2015
不好意思,我初学php架设网页後台,
想询问一些关於php的基本问题>///<
1.
请问php的一个变数内部可以融纳下多少位字元,我在查这个时都查到整数(int)的~__~
如果我设定 $x = $_POST["x"]; 让使用者输入字串,
使用者输入字串超出变数可以融纳下的范围php会如何处理?
2.
我看网路上有的网址为.php?id=1
有的甚至可以直接在URL列登入帐号密码,
请问这个运作过程为何?为何能实现?
再自行架设的网站内试图於URL登入,但都失败QAQQQ
3.
我看见访间有一种网页攻击方式为xss攻击,
再自行架设後的留言板中进行测试,
发现如果我直接输入<script>标签他会产生反应,
但是当输入:
<script>alert
('hacked')</sc
ript>
却是以字串方式呈现,是否xss攻击无法由10进制html代码,甚至其他代码执行,
只要我过滤掉了'<'和'>'就不须当心xss了?
4.
听说要挡住sql injection 只要使用magic quotes就可以了(?
magic quotes後来不被php自动执行请问是有什麽副作用?如何避免?
--
往昔所造诸罪业
皆由无始贪瞋痴
从身语意之所生...
一切,我今皆忏悔!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.44.130.150
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1445951017.A.AB5.html
1F:推 xdraculax: 1 goo.gl/z1zFqs 10/28 08:48
2F:→ xdraculax: 2 在网址出现帐密或是某网址可直接登入都是 10/28 08:48
3F:→ xdraculax: 很不好的事,不要研究这个 = = 10/28 08:49
4F:→ xdraculax: 3 xss 攻击方法很多不止这些,用 framework 别人写好 10/28 08:49
5F:→ xdraculax: 的比较妥 10/28 08:49
6F:→ xdraculax: 4 官网说:不是所有资料都需要转,自动转太鸡婆 10/28 08:50
7F:推 crossdunk: SQL INJECTION用PDO去防止就好了@@ 10/28 09:19
8F:→ rockmanalpha: 3.XSS光去掉< >和单双引号是不够的 因为攻击者还可 10/28 09:56
9F:→ rockmanalpha: 以把想要注入的javascript写成Unicode码 比方说 10/28 09:57
10F:→ rockmanalpha: \u003c \u0111这种来避开字符过滤 所以像上面板友 10/28 09:58
11F:→ rockmanalpha: 所说用一些Library或Framework会提供较完善的保护 10/28 09:58
12F:→ lucky1lk: 2. 关键字:GET 不过不推荐 10/28 13:28
感谢您们!!
※ 编辑: st1009 (1.163.141.14), 02/24/2018 21:45:10