版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
1.SQL
addslashes()
mysql_real_escape_string()
mysql_escape_string()
都是给字符串添加“ /”
,过滤 单引号’
、双引号“
、反斜线\
、空字符NULL
.
其中mysql_escape_string()、addslashes()
可能存在宽字节绕过问题。
2.XSS过滤函数
htmlspecialchars()
strip_tags()
3.命令执行
命令注入,通常会用到
||、&
等字符,PHP为防止命令注入漏洞,提供了escapeshellcmd()、escapeshellarg()
escapeshellcmd():windows下加^,linux加\