代码审计day1

 · 2020-3-17  ·次阅读


魔术引号自动过滤

magic_quotes_gpc= on (在PHP5.4.0中被移除)

如果是开启状态,那么将自动对用户提交的sql语句进行转义

会把所有的单引号(“’’”)双引号(““””)反斜杠(”\“)和空字符(NULL)加上反斜杠进行转义

可以使用addslashes来转义提交的请求,或者用stripslashes来删除转义

远程文件

是否允许包含远程文件

allow_url_include= off

是否允许打开远程文件

allow_url_open= on

目录权限

HTTP头部版本信息

expose_php = off

防止通过http头部泄露php的版本信息

文件上传临时目录

upload_tmp_dir=

上传文件临时保存的目录,如果不设置的话,则采用系统的临时目录

用户可访问目录

open_basedir =

能够控制PHP脚本只能访问指定目录