大家都知道,addslashes是过滤垃圾信息的函数,如果你的PHP环境打开了魔法函数,那么addslashes这个函数将自动运行对用户提交的信息进行过滤。但是addslashes函数在进行转义的时候,只对二进制字符串操作二不考虑字符集,结果产生BUG和漏洞。关于漏洞的产生,大家可以去百度搜索《PHP字符编码绕过漏洞总结》,注入我不细说了,主要说说BUG。 首先要说明的是,此BUG只会在GBK字符集下会产生,GB2312无影响。我们来看GBK字符集的编码范围。 分区 高位 低位——————…
大家都知道,addslashes是过滤垃圾信息的函数,如果你的PHP环境打开了魔法函数,那么addslashes这个函数将自动运行对用户提交的信息进行过滤。但是addslashes函数在进行转义的时候,只对二进制字符串操作二不考虑字符集,结果产生BUG和漏洞。关于漏洞的产生,大家可以去百度搜索《PHP字符编码绕过漏洞总结》,注入我不细说了,主要说说BUG。 首先要说明的是,此BUG只会在GBK字符集下会产生,GB2312无影响。我们来看GBK字符集的编码范围。 分区 高位 低位——————…
