0条评论
还没有人评论过~
开发者容易遗漏的输入点:
引入单引号(转义符)的方法:
stripslashes (去除\)
base64_decode (进行解码,去掉转义)
urldecode (将27%解码为单引号)
substr (截断字符串,将\与'截断为两个字符)
iconv (转换字符集,导致宽字符注入)
str_replace('0',",$sql) (将0转义成\0,从而造成注入)
xml
json_encode (加上\)
来源:https://www.cnblogs.com/lwfiwo/p/11170310.html