问题标签 [magic-quotes-gpc]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 从 5.4 开始删除 magic_quotes_gpc
我正在将一些代码升级到 php 7+。该指令在 5.4 中被删除。所以从 5.4 开始,这个 if 总是会评估 false 对吗?
这肯定适用于 php 5.5+ 吗?
wordpress - Wordpress sql注入混淆
最近我看到很多关于 Wordpress 插件上的 sql 注入的报告,例如https://www.tenable.com/blog/cve-2020-27615-sql-injection-vulnerability-in-wordpress-loginizer-plugin
如果我进一步研究变更集,黑客可以通过以下方式进行攻击
并且 $loginizer['current_ip'] 基本上是从 $_SERVER (https://plugins.trac.wordpress.org/browser/loginizer/trunk/functions.php?rev=2401010)中检索的
我不明白的是 $_SERVER 应该被 wp_magic_quotes 转义,那么它怎么可能容易受到攻击?我可以找到一些其他报告的示例,但我永远找不到绕过 wp_magic_quotes 的方法。有人可以帮我弄清楚吗?
有关更多详细信息https://wpdeeply.com/loginizer-before-1-6-4-sqli-injection/
非常感谢,