sql注入的防御

整型

intval()函数

但是不能暴库

注意:从yxcms来看,如果是批量传送整数,可能会出现没有使用intval()的情况,可能会存在注入。

字符型

htmlspecialchars()实体化,没啥用

addslashes()函数,没啥用

这是时候可以看看一些waf的过滤规则
注意:要是遇到转义引号的,尝试一下宽字符注入,或者直接来一波DNSlog注入

来源：https://www.cnblogs.com/lyxsalyd/p/12551118.html

标签

易学教程内所有资源均来自网络或用户发布的内容，如有违反法律规定的内容欢迎反馈！
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!