Addslashes函數(shù)安全性分析

石春宏

摘要：本文主要分析在 PHP中使用addslashes函數(shù)在實(shí)際防注入過程中的作用，以及對其進(jìn)行安全性測試。結(jié)果表明：在使用addslashes函數(shù)加固后，將輸入?yún)?shù)中加入的引號(hào)轉(zhuǎn)換為了普通字符，之前的常規(guī)注入方法失效，網(wǎng)站的安全性得到整體提高。

關(guān)鍵詞：Addslashes；安全性；防注入過程

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）33-0046-01

1語法簡介

1.1 addslashes（） 函數(shù)簡介

addslashes（） 函數(shù)功能是在預(yù)定義字符之前添加反斜杠的字符串，作為返回值。其預(yù)定義字符如下：

1）NULL

2）反斜杠（＼）

3）單引號(hào)（'）

4）雙引號(hào)（"）

2 addslashes（）函數(shù)測試

2.1 對未使用安全函數(shù)的頁面進(jìn)行SQL注入

3 結(jié)論

總體來講，addslahes（）通過轉(zhuǎn)義，基本上能夠防止該點(diǎn)的sql注入，唯一要注意的是在使用字符集為GBK，會(huì)存在寬字節(jié)注入漏洞，在必須要使用GBK字符集時(shí)，需進(jìn)行進(jìn)一步加固。

參考文獻(xiàn)：

[1] 王海濤. SHA-3標(biāo)準(zhǔn)Keccak算法的安全性分析與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2017.

[2] 譚雪，周琥，王世紅.基于混沌的Hash函數(shù)的安全性分析[J].計(jì)算機(jī)應(yīng)用與軟件，2016，33（06）：320-324.

[3] 郝榮林. 雜湊函數(shù)的安全性分析[D].中國科學(xué)技術(shù)大學(xué)，2014.

[4] 王浩. 混沌單向Hash函數(shù)的安全性分析研究[D].長沙理工大學(xué)，2013.

[5] 高曉東. Hash函數(shù)的安全性分析及其應(yīng)用研究[D].西安電子科技大學(xué)，2013.

【通聯(lián)編輯：梁書】