查看: 1867|回复: 25

PHP双引号二次解释引来的安全问题

[复制链接]
发表于 2013-1-10 10:11:36 | 显示全部楼层 |阅读模式

PHP单引号与双引号的区别:

单引号和双引号的唯一的区别就是:

用单引号包起来的PHP解释器不会对其二次解释,而双引号却要二次解释,

看代码:

<?php
$a=8;
$b=8;
echo “$a+b$”.”<br />”;
echo ‘$a+b$’;
?>

这样我们知道了单引号与双引号的区别,但是这样会带来一个安全漏洞

<?php
$a=”${@phpinfo()}”;
?>

确实执行了,那么这就说明.直接赋值的字符串变量尽量用单引号.试试数组呢?

<?php

array(1=>”${@phpinfo()};”)

?>

数组也成功被解析了,这就意味这:作为配置文件,不能或尽量少用双引号,这样很容易被入侵或被恶意攻击。

拓展阅读:

关于PHP单引号和双引号的区别:

PHP会对用双引号包起来的字符进行解析,例如:

$str = '早上好';echo $str; //输出:早上好echo "$str"; //输出:早上好echo '$str'; //输出:$str

其实在之前的PHP100视频教程里我就讲过,单引号和双引号的区别和效率问题,但还是很多朋友了解的不是很清楚,一直以为PHP中单引号和双引号是互通的,直到有一天,发现单引号和双引号出现错误的时候才去学习研究。

所以今天再拿出来谈谈他们的区别,希望大家不要再为此困惑。

” ” 双引号里面的字段会经过编译器解释,然后再当作HTML代码输出。

‘ ‘ 单引号里面的不进行解释,直接输出。

从字面意思上就可以看出,单引号比双引号要快了。

例如:

$abc = 'my name is tome';echo $abc //结果是:my name is tomecho '$abc' //结果是abcecho "$abc" //结果是:my name is tom
发表于 2013-1-11 09:22:26 | 显示全部楼层
楼上的稍等啦  
发表于 2013-1-14 13:55:53 | 显示全部楼层
我率天兵天将 将你打回原形~~~  
发表于 2013-1-21 07:10:29 | 显示全部楼层
先看看怎么样!  
发表于 2014-11-5 01:15:00 | 显示全部楼层
就为赚分嘛  
发表于 2014-11-17 20:59:18 | 显示全部楼层
我的啦嘿嘿  
发表于 2014-12-5 08:28:53 | 显示全部楼层
这样的贴子,不顶说不过去啊  
发表于 2014-12-28 13:13:54 | 显示全部楼层
我该不会是最后一个顶的吧  
发表于 2015-1-28 12:33:18 | 显示全部楼层
21世纪,什么最重要——我!  
发表于 2015-3-2 07:37:03 | 显示全部楼层
谢谢分享了!  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则