宽字节注入源码

原文转载自：http://www.cnblogs.com/Fluorescence-tjy/p/5911640.html

<?php<br>
// 面向对象写法
 
$id=addslashes($_GET[‘id’]); //获取id并转义预定义字符
// /$id=$_GET[‘id’];<br>
$mysqli=new mysqli(‘localhost’,’root’,’root’,’test’); //连接数据库 指定数据库
 
if ($mysqli->connect_errno) { //判断错误信息
die(‘Connect Eroor:’).$mysqli->connect_error(); //断开连接 返回错误
}else {
　　if ($id) {
　　　　$sql=”SELECT * FROM mysqli_test WHERE id=’$id'”; //查询语句
　　　　echo $sql;
　　　　$mysqli->query(‘set names gbk’);
　　　　$result=$mysqli->query($sql); //执行一个查询
　　　　//var_dump($result);
　　　　$date=$result->fetch_assoc(); //获得一个结果集
　　　　//var_dump($date);
　　　　echo “<br /> username:”.$date[‘username’]; //打印输出
　　　　echo “<br /> password:”.$date[‘password’];
　　}else {
　　　　echo “Error:ID NULL”;
　　}
}<br>?>

 

修复方法：

1.mysql_real_escape_string转义

2.参数化查询（预编译）

3.pdo查询