ADODB是如何完成符号转义的
|
今天在研究PHP+MYSQL的 SQL注入攻击, 发现许多攻击 都是从 单引号(')开始的, 即:如果php.ini中 magic_quotes_gpc = off,输入内容中有 单引号(') 就可以实现关闭,从而得以注入。 但是试了一下,发现及时 magic_quotes_gpc = off,SQL文中输入的引号前还有一个引号,就是两个引号(''),注入也没有成功。 因为我实验的时候试的是Postgres ,一开始以为是这个原因,但是很快就排除了。 后来想到了我的程序中,数据库访问都用到了ADODB,且所有的数据库访问都继承自两个通用的类,一个是管查询,一个是管动作操作(追加,更改,删除)。 于是想到是不是 ADODB 有办法来完成单引号(')转义的呢? 刚才查了下资料,看到一个老外也有这样类似的疑惑,有人回答了他,于是知道原来 ADODB 中 ADOConnection 公用函数 有个 qstr 方法 ,这个方法能够完成转义,我又查看了ADODB的手册(来自:http://www.souzz.net/online/adobd.html#qstr )如下: qstr($s,[$magic_quotes_enabled=false]) 将一个字串放在引号内,以送到资料库中。$magic_quotes_enabled 叁数可能看起来很有趣,但这个想法是假设你已经用一个引号来处理了从 POST/GET 变数取来的字串後,然後以 get_magic_quotes_gpc() 做为第二个叁数。这会确定这个变数不会被引号处理二次,一次被 qstr 处理,一次被 magic_quotes_gqc。 例如: $s = $db->qstr(HTTP_GET_VARS['name'],get_magic_quotes_gpc()); 回传值是一个被引号处理过的字串。 上面的手册说明语句有点拗口哦,但是知道了“回传值是一个被引号处理过的字串”也就够了。 这下解决了我的疑问,原来ADODB 是靠qstr 结合 magic_quotes_gpc 来转义单引号的, 我想我的项目中用来被继承的那两个通用的类里一定有关于qstr 的语句,周一上班一定再去确认一下。 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 周一来确认了一下代码, 结果发现通用的类里并没有使用 qstr 来转义 单引号('),而是用了 pg_escape_string 。 语句如: $tmpvalue_nest = pg_escape_string($tmpvalue_nest); 因为我们的数据库是postgres ,所以日本人用了这个 postgres 的PHP函数一样完成了转义,即在原来的 单引号(')前,再加一个单引号,变成两个单引号的形式来对数据库操作。 有没有办法设置其他的符号如:反斜杆(slash /)加在原来的单引号(')前,我还没有研究过,感觉应该可以,postgres应该会提供类似的PHP函数。 pg_escape_string 详解如下: pg_escape_string pg_escape_string -- 转义 text/char 类型的字符串 说明 string pg_escape_string ( string data ) pg_escape_string() 转义 text/char 数据类型的字符串,返回转义后的字符串。建议用此函数替代 addslashes() 。 注: 本函数需要 PostgreSQL 7.2 或以上版本。 参见 pg_escape_bytea() 。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |