论文部分内容阅读
摘要:本文主要分析在 PHP中使用addslashes函数在实际防注入过程中的作用,以及对其进行安全性测试。结果表明:在使用addslashes函数加固后,将输入参数中加入的引号转换为了普通字符,之前的常规注入方法失效,网站的安全性得到整体提高。
关键词:Addslashes;安全性;防注入过程
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2018)33-0046-01
1语法简介
1.1 addslashes() 函数简介
addslashes() 函数功能是在预定义字符之前添加反斜杠的字符串,作为返回值。其预定义字符如下:
1)NULL
2)反斜杠(\)
3)单引号(’)
4)双引号(")
2 addslashes()函数测试
2.1 对未使用安全函数的页面进行SQL注入
3 结论
总体来讲,addslahes()通过转义,基本上能够防止该点的sql注入,唯一要注意的是在使用字符集为GBK,会存在宽字节注入漏洞,在必须要使用GBK字符集时,需进行进一步加固。
参考文献:
[1] 王海涛. SHA-3标准Keccak算法的安全性分析与实现[D].西安电子科技大学,2017.
[2] 谭雪,周琥,王世红.基于混沌的Hash函数的安全性分析[J].计算机应用与软件,2016,33(06):320-324.
[3] 郝荣林. 杂凑函数的安全性分析[D].中国科学技术大学,2014.
[4] 王浩. 混沌单向Hash函数的安全性分析研究[D].長沙理工大学,2013.
[5] 高晓东. Hash函数的安全性分析及其应用研究[D].西安电子科技大学,2013.
【通联编辑:梁书】
关键词:Addslashes;安全性;防注入过程
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2018)33-0046-01
1语法简介
1.1 addslashes() 函数简介
addslashes() 函数功能是在预定义字符之前添加反斜杠的字符串,作为返回值。其预定义字符如下:
1)NULL
2)反斜杠(\)
3)单引号(’)
4)双引号(")
2 addslashes()函数测试
2.1 对未使用安全函数的页面进行SQL注入
3 结论
总体来讲,addslahes()通过转义,基本上能够防止该点的sql注入,唯一要注意的是在使用字符集为GBK,会存在宽字节注入漏洞,在必须要使用GBK字符集时,需进行进一步加固。
参考文献:
[1] 王海涛. SHA-3标准Keccak算法的安全性分析与实现[D].西安电子科技大学,2017.
[2] 谭雪,周琥,王世红.基于混沌的Hash函数的安全性分析[J].计算机应用与软件,2016,33(06):320-324.
[3] 郝荣林. 杂凑函数的安全性分析[D].中国科学技术大学,2014.
[4] 王浩. 混沌单向Hash函数的安全性分析研究[D].長沙理工大学,2013.
[5] 高晓东. Hash函数的安全性分析及其应用研究[D].西安电子科技大学,2013.
【通联编辑:梁书】