2007年1月 的存档
php函数中有一个get_magic_quotes_gpc()函数,可以得到当前的magic_quotes_gpc配置(0 for off, 1 for on). 在magic_quote=on的情况下(我们的网站基本都是=on),所有$_GET,$_POST,$_REQUEST中的变量值,会自动地在单引号和双引号之前加上\ 这个东西有一个好处就是得到的变量值可以方便的生成SQL语句去查询,比如直接…SET field=’$val’就可以用。 但是有个问题,我们所有的SQL语句里面的数值并不都是从$_GET,$_POST,$_REQUEST中来的,比如从数据库里取出来,再写回数据库的时候,如果数据中有单(双)引号,..SET field=’$val’就会报错,而且还可能引发不可知的错误。 当然,最简单的方法就是清楚地知道各个变量值从哪里来,然后在SQL的时候判断要不要加addslashes()。 但是这样还是有一个问题:现在大家都会用某个SQL类来实现DB的操作,这个类里面的代码并不知道各个变量的来源,所以相信大多数都会加上addslashes()函数的。 这样的话,当$_GET里面比如应该是isn’t,PHP里拿到的是isn\’t,再用addslashes(),SQL中就变成了isn\\\’t,存入数据库的就是isn\’t,那么我们的数据就错了。 那么有人就说,那干脆把magic_quote设置成off,不就好了? 不行,并不是所有的人都会注意到这个问题,一些初学者或者是有些粗心的时候,会很随意地写一些类似..SET field=’$val’的程序而没有用很好的类库函数,如果magic_quote=off的话,外面的人只要在url上打[...php?val=';drop table ttt;],ttt表就会被自动的删掉。 这是很不安全的。 虽然两边都会出错,但是总体来说magic_quote=on的时候更安全一些,出错也是由于自己的代码导致,不会被别人攻击。 至于上面说的多重\的问题,我们还是要用有addslashes()的类库函数,但是在从$_GET,$_POST,$_REQUEST中得到数据的时候stripslashes()就好了。 这里建议对传来的整形和字符串类型的变量,在程序一开始就作如下转换: 整形:$nProductID = max(0, (int)$_REQUEST['pid']); 字符串类型:$sCategoryName = stripslashes(trim($_REQUEST['catname'])) PHP的global设置应该是off的,毕竟$pid和$_REQUEST[‘pid’]更容易让人区分变量的来源。 还有就是,通知大家要注意这个问题,大家都统一,就不会有这个问题了。
解决方法: 1、电脑重启至安全模式,根据360的提示得知,“万能搜索”的主程序目录位于c:\program files\common files\RGGZS下,不过直接删这个目录是删不了的,删完又来的,用UNLOCK查了下进程调用情况,没发现任何进程调用,然后索性把文件夹“common files”改名为其它名字,我改成了“common files bak”,然后把RGGZS直接删除,这下一下子就删掉了,别得意,呵呵,别忘记把刚才“common files bak”改成原来的“common files”,OK,电脑重启,第一阶段告一段落,喝口开化龙顶先,呵呵 2、电脑重启后会提示找不到“WNSO.EXE”,那肯定找不到啦,老家都让我们给端了,先点击确定不予理会,这时候请出了大名鼎鼎的“冰刃”(哎,怎么一开始没想到啊,走了那么多弯路,看来遇事不够冷静啊)下载地址:http://jscz.crsky.com//200610/IceSword120II_cn.rar 运行冰刃,选择“注册表”选项,找到键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services,然后在下面分别找front和roreg,然后点击右键,删除这两个祸害,删除后重启电脑。 3、重启后依旧会提示找不到“WNSO.EXE”,这时候我们在启动项里面去掉“WNSO.EXE”(开始—>程序—>启动),这时候“万能搜索”差不多搞定了,用360安全卫士搜索一下,没有发现任何恶意软件,心里一阵窃喜啊,先悠着点,开始最后一步 4、古语有云“送佛送到西”虽然主要的一些文件已经被我们删掉了,但是还有一些残骸留在电脑里,这时候我们就可以用兔子或者优化大师来清理一下注册表了,清理完成后困扰我们的“万能搜索”也随之覆灭。