最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
php中使用is_numberic函数注意事项
时间:2022-06-24 15:47:51 编辑:袖梨 来源:一聚教程网
0×00 简介
国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构
bool is_numeric ( mixed $var )
is_numeric会判断一个字符串是否是数字类型,这很重要. 比如-1, 1.5 这类的数字在is_numberic中是返回true, 因为是一个数字类型
0×01 函数是否安全
接下来我们来看个例子,说明这个函数是否安全。
| 代码如下 | 复制代码 |
|
$s = is_numeric($_GET['s'])?$_GET['s']:0; |
|
上面这个片段程序是判断参数s是否为数字,是则返回数字,不是则返回0,然后带入数据库查询。(这样就构造不了sql语句)
我们把‘1 or 1’ 转换为16进制 0x31206f722031 为s参数的值
程序运行后,我们查询数据库看看,如下图:
如果再重新查询这个表的字段出来,不做过滤带入另一个SQL语句,将会造成2次注入.
0×02 总结
尽量不要使用这函数,如果要使用这个函数,建议使用规范的sql语句,条件加入单引号,这样16进制0x31206f722031就会在数据库里显示出来。而不会出现1 or 1。
如果我们要判断是否是数字我们可以通过 intval()函数来代替is_numeric函数这样上面的方法全部无效了,下面看个例子
| 代码如下 | 复制代码 |
|
$id = intval($_GET['id']); echo intval(42); // 42 |
|
intval最常用的是正在程序中功滤入进数据库的变质,将其转换为整型,避免SQL注进攻打的发生
相关文章
- 人们熟悉的寄居蟹属于以下哪种分类 神奇海洋11月21日答案 11-21
- 第五人格11.22共研服有什么更新 11月22日共研服更新内容介绍 11-21
- 原神恰斯卡怎么培养 11-21
- 无期迷途四星装束是谁 11-21
- 王者荣耀帝丹高中校服怎么获得 11-21
- 光遇姆明季后续版本怎么玩 11-21