本文實例講述了PHP中使用addslashes函數(shù)轉義的安全性原理分析。分享給大家供大家參考。具體分析如下:
先來看一下ECshop中addslashes_deep的原型
復制代碼代碼如下:
function addslashes_deep($value) {
if (empty($value)) {
return $value; //如為空,直接返回;
} else {
return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
} //遞歸處理數(shù)組,直至遍歷所有數(shù)組元素;
}
if (empty($value)) {
return $value; //如為空,直接返回;
} else {
return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
} //遞歸處理數(shù)組,直至遍歷所有數(shù)組元素;
}
addslashes_deep函數(shù)本身沒有問題,但使用時得注意一點
恰好今天也是在網上看到了有人發(fā)了關于使用這個函數(shù)使用的BUG注入漏洞
這個函數(shù)在引用回調函數(shù)addslashes時,只對數(shù)據的值進行轉義,所以如果使用者在此過程中引用數(shù)組的鍵進行特定處理時,存在$key注入風險,此時可更改addslashes_deep函數(shù),使其同時對鍵值進行轉義,或者使用時明確不引用鍵內容。
希望本文所述對大家的PHP程序設計有所幫助。
