作者st1009 (前端攻城師)
看板PHP
標題[請益] PHP字元溢位(OverFlow)
時間Tue Oct 27 21:03:28 2015
不好意思,我初學php架設網頁後台,
想詢問一些關於php的基本問題>///<
1.
請問php的一個變數內部可以融納下多少位字元,我在查這個時都查到整數(int)的~__~
如果我設定 $x = $_POST["x"]; 讓使用者輸入字串,
使用者輸入字串超出變數可以融納下的範圍php會如何處理?
2.
我看網路上有的網址為.php?id=1
有的甚至可以直接在URL列登入帳號密碼,
請問這個運作過程為何?為何能實現?
再自行架設的網站內試圖於URL登入,但都失敗QAQQQ
3.
我看見訪間有一種網頁攻擊方式為xss攻擊,
再自行架設後的留言板中進行測試,
發現如果我直接輸入<script>標籤他會產生反應,
但是當輸入:
<script>alert
('hacked')</sc
ript>
卻是以字串方式呈現,是否xss攻擊無法由10進制html代碼,甚至其他代碼執行,
只要我過濾掉了'<'和'>'就不須當心xss了?
4.
聽說要擋住sql injection 只要使用magic quotes就可以了(?
magic quotes後來不被php自動執行請問是有什麼副作用?如何避免?
--
往昔所造諸罪業
皆由無始貪瞋癡
從身語意之所生...
一切,我今皆懺悔!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.44.130.150
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1445951017.A.AB5.html
推 xdraculax: 1 goo.gl/z1zFqs 10/28 08:48
→ xdraculax: 2 在網址出現帳密或是某網址可直接登入都是 10/28 08:48
→ xdraculax: 很不好的事,不要研究這個 = = 10/28 08:49
→ xdraculax: 3 xss 攻擊方法很多不止這些,用 framework 別人寫好 10/28 08:49
→ xdraculax: 的比較妥 10/28 08:49
→ xdraculax: 4 官網說:不是所有資料都需要轉,自動轉太雞婆 10/28 08:50
推 crossdunk: SQL INJECTION用PDO去防止就好了@@ 10/28 09:19
→ rockmanalpha: 3.XSS光去掉< >和單雙引號是不夠的 因為攻擊者還可 10/28 09:56
→ rockmanalpha: 以把想要注入的javascript寫成Unicode碼 比方說 10/28 09:57
→ rockmanalpha: \u003c \u0111這種來避開字符過濾 所以像上面板友 10/28 09:58
→ rockmanalpha: 所說用一些Library或Framework會提供較完善的保護 10/28 09:58
→ lucky1lk: 2. 關鍵字:GET 不過不推薦 10/28 13:28
感謝您們!!
※ 編輯: st1009 (1.163.141.14), 02/24/2018 21:45:10