1回答
我正在测试一个提供ping功能的PHP webapp应用程序。我尝试过不同的命令注入方法,发现它只接受%0a和简单的命令注入,比如ls或id。然而,代码正在过滤许多字符,如| & ; ( " / > ’,这些字符是执行反向shell所必需的。就像nc -e /bin/bash。
对如何绕过这个过滤器有什么建议吗?
浏览 0提问于2018-07-08得票数 2
我一直在创建一个关于学生表单的安卓应用程序,我有关于SQLInjection的知识,因此想要避免它。 因此,我无法获得我应该为这些字段设置的值,以便正常工作以及保护应用程序免受SQLInjection攻击。 我已经尝试了Firstname字段的android:maxLength=120。但我注意到它实际上很长。
浏览 18提问于2019-06-21得票数 0
3回答
我希望允许某些用户输入一些字段,这些字段反过来会填充一个(新) php文件。但是,我需要知道如何过滤输入,以便'、"和相似的东西不会破坏字符串并为潜在的注入打开空间。我找不到关于这个问题的任何其他问题,只有数据库过滤。我不想要这些盒子里的html。而
浏览 4提问于2012-07-06得票数 2
回答已采纳
1回答
现在,我正在试图定位薄弱点,这使我进入了php注入。/php/$page.php");我试过这样的方法:example.php");include(...BADCODE HERE...我认为白名单和/或php函数(strip实体,剥离.)在默认情况下,过滤特殊的牧师和代码将使其防弹。但是,我仍然在想,在$
浏览 1提问于2018-09-30得票数 1
回答已采纳
在从Acunetix进行安全扫描后,我得到了一个中等严重级别的警告"CRLF注入/HTTP响应拆分(Web )“。我已经过滤了所有的,CR,LF,字符从用户输入在我的网站。但它仍然显示出同样的警觉。我的PHP版本是PHP 7,我使用的是Codeigniter 3.14框架。截图如下。
浏览 6提问于2017-07-20得票数 0
我一直对上述sql注入预防方法的优缺点感到好奇。函数将特殊字符转换为字符串等价物。我不完全确定sqli准备如何工作,因为到目前为止我对sql的了解有限,但是如果您使用PHP筛选函数和/或htmlspecialchars,我是否正确地假设它没有必要?注意:如果我做错了,请保持燃烧的建设性,我仍然在学习PHP和SQL。
浏览 3提问于2014-06-21得票数 2
回答已采纳
1回答
我最近正在测试一个网站,我在其中发现了一些问题,这延续了我之前提出的关于web应用程序中的零字节字符串终止的问题。我注意到网站没有过滤出URL编码的CR/LF字符,如果我注入这些字符,它们确实在源代码中得到尊重(您可以看到代码在页面中被向下移动)。我已经检查了返回的头,但是没有任何我尝试注入的数据的迹象,我注入的任何XSS字符也会被页面过滤(html实体) ('<‘=> <等)。
所以我的问题是,
浏览 0提问于2013-09-24得票数 2
回答已采纳
假设您有以下过滤器链:<====Filter 1<====Filter 2<====<====Filter 3<====Filter 4 <====过滤器5问题是,在进行“查看源”时,我们不会在web浏览器中看到注
浏览 1提问于2012-06-07得票数 0
我的file.php接受第三方的API调用,但有时在URL API调用的第三方中包含字符%0A,这会导致文件找不到。example.com/file.php?text=SMS+123&id=22 example.com/file.php?text=SMS+123%0A&id=22/
浏览 0提问于2020-10-14得票数 1
selectedLang = document.getElementById('lang').value;
xmlhttp.open("GET","ds_hint_"+selectedLang+".php?p="+str,true);
}
<&
浏览 1提问于2014-01-20得票数 1
Autocomplete调用PHP脚本,该脚本如下所示:$query = "SELECT * FROM$row['lname'].'. "}'; $exe .= ']';}
据我所知,PHP代码将匹配的数据保存到名为
浏览 0提问于2013-06-19得票数 1
回答已采纳
当我得到我的结果时,单引号作为特殊字符出现(问号?)有没有办法让它们正确显示?php print $category['name']?php print $row['question']; ?php print $row['answer']; ?php
} ?>
浏览 1提问于2014-08-27得票数 0
有没有内置的php (或MySQL)函数可以过滤搜索中使用的字符串?在本例中,我希望在将字符串传递到MySQL正则表达式之前,只生成一个字符串字母表(大写和小写)。我使用的是PDO和参数化查询,所以我不担心SQL注入。但是,我希望确保有人不会传入通配符并占用太多内存。到目前为止,这就是我用来删除除空格和字母表之外的所有内容的方法。这足够了吗?
浏览 1提问于2011-08-16得票数 1
回答已采纳
5回答
我以前读过“过滤输入,转义输出”,但是当我在PHP中使用PDO时,过滤输入真的是必要的吗?我认为使用PDO我不需要过滤输入,因为准备好的语句负责sql注入。我认为“转义输出”仍然有效,但是“过滤器输入”仍然有效吗?
浏览 2提问于2010-11-19得票数 10
回答已采纳
1回答
将自定义过滤器(在本例中为下拉框)添加到管理用户列表( dropdown /users.php)的正确方法是什么?我计划使用这个过滤器int的结果,如下所示:如何从管理中的users.php中搜索所有用户元
浏览 0提问于2011-02-24得票数 1
回答已采纳
假设我们有这样的表单,用户注入恶意代码的可能部分如下<input type=text name=username value=...我们不能简单地放置一个标记或javascript:alert();调用,因为value将被解释为一个字符串,而htmlspecialchars会过滤出<,>,',",所以我们不能用引号结束
浏览 0提问于2010-05-24得票数 25
回答已采纳
当我验证输入时,我将字符(包括引号)转换为它们的HTML实体。在将它们放入数据库时,我使用PDO准备好的语句,并将变量传递给execute方法。
这是否足以阻止SQLi和XSS攻击?
浏览 1提问于2010-08-30得票数 2
7回答
我最近一直在用PHP编写我的网站,我为自己在查询中使用输入之前对输入进行消毒的良好做法而感到非常自豪。一切都很顺利,直到我的朋友说我需要清理我的输入。以下是他正在利用的PHP代码:他所做的就是更改id参数,使他能够在我的数据库上使用SQL注入我以为mysql
浏览 10提问于2011-06-17得票数 7
回答已采纳
1回答
无法执行数据表搜索
、、、
我目前正在使用datatables插件来动态列出我为我正在工作的系统创建的表数据。我用以下方式显示信息和执行搜索的代码: if ( isset( $_G
浏览 0提问于2017-08-10得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
