ldap_search 如何防止注入攻击，请高手指点-CSDN论坛

⋅JAVA版H5场景秀 ⋅ ldap_search 如何防止注入攻击，请高手指点 ⋅Apache server status 页面显示【CPU Usage】是什么意思 更多帖子 关注私信空间博客 雨雪飘零 本版专家分：0 结帖率 98.48%: 使用ldap_search函数查询，如何防止注入攻击呢？

有ldap_escspe函数，但是php版本需要＞＝5.6，我目前使用的是5.3，就不能使用了。

我的客户说需要将一些特殊字符转义，这个我同意。

问题是客户认为，ldap_search函数中的filter参数需要用单引号引起来，才能有效防止注入攻击。

但实际上filter部分使用单引号引起来后，会出现如下错误信息：

bad search filter

客户这么认为，是因为在命令行下，使用ldapsearch命令查询时，filter部分不加单引号是会报错的，我试了一下，确实是这样。

可是在使用php提供的ldap_search函数时，恰恰相反，不加单引号是对的，加入单引号报出 bad search filter 错误。到我却不知道为什么会这样。

望高手指点，使用php的ldap_search函数，filter参数是否需要用单引号引起来？

还有就是，ldap到底用什么方式防止注入攻击？

望大师不吝赐教。

2 2016-01-17 10:35:40

回复数 5 只看楼主引用举报楼主

雨雪飘零 本版专家分：0: 没有人知道吗

0 2016-01-17 11:53:49

只看TA 引用举报 #1 得分 0

⋅真是傻到家了 ⋅想要做什么 ⋅你们能不能敬业一点 更多帖子 关注私信空间博客 xuzuning 本版专家分：395944 版主 名人 2019年荣获名人称号 状元 2018年总版新获得的技术专家分排名第一 进士 2017年总版技术专家分年内排行榜第四 2014年总版技术专家分年内排行榜第四 2013年总版技术专家分年内排行榜第四 2012年总版技术专家分年内排行榜第六 金牌 2018年3月总版技术专家分月排行榜第一 2013年5月总版技术专家分月排行榜第一: ldap_escspe 只是将 \ 转义成 \5c

0 2016-01-17 15:24:27

只看TA 引用举报 #2 得分 10

⋅傲雪星枫的留言板

⋅为什么我的C币没有消费过会突然减少了

⋅为什么博客文章发布修改都要等比较长的时间才能审核

更多帖子

关注私信空间博客

傲雪星枫

本版专家分：64957

版主

优秀版主 2016年10月优秀小版主

铜牌 2017年1月总版技术专家分月排行榜第三

红花 2017年2月 PHP大版内专家分月排行榜第一
2017年1月 PHP大版内专家分月排行榜第一

黄花 2017年7月 PHP大版内专家分月排行榜第二
2017年6月 PHP大版内专家分月排行榜第二
2017年5月 PHP大版内专家分月排行榜第二
2017年4月 PHP大版内专家分月排行榜第二
2017年3月 PHP大版内专家分月排行榜第二
2016年12月 PHP大版内专家分月排行榜第二
2016年11月 PHP大版内专家分月排行榜第二
2016年10月 PHP大版内专家分月排行榜第二
2016年9月 PHP大版内专家分月排行榜第二
2016年7月 PHP大版内专家分月排行榜第二
2016年6月 PHP大版内专家分月排行榜第二
2016年3月 PHP大版内专家分月排行榜第二
2016年2月 PHP大版内专家分月排行榜第二
2016年1月 PHP大版内专家分月排行榜第二
2015年11月 PHP大版内专家分月排行榜第二
2015年10月 PHP大版内专家分月排行榜第二
2015年8月 PHP大版内专家分月排行榜第二
2015年7月 PHP大版内专家分月排行榜第二
2015年6月 PHP大版内专家分月排行榜第二
2015年4月 PHP大版内专家分月排行榜第二
2015年3月 PHP大版内专家分月排行榜第二
2015年2月 PHP大版内专家分月排行榜第二
2015年1月 PHP大版内专家分月排行榜第二
2014年12月 PHP大版内专家分月排行榜第二
2014年11月 PHP大版内专家分月排行榜第二
2014年10月 PHP大版内专家分月排行榜第二
2014年9月 PHP大版内专家分月排行榜第二
2014年8月 PHP大版内专家分月排行榜第二
2014年7月 PHP大版内专家分月排行榜第二
2014年6月 PHP大版内专家分月排行榜第二

防止sql的注入攻击可以使用pdo的prepare与execute来防止



<?php  

$query = $dbh->prepare("select * from table where id = ?");  

if ($query->execute(array(1000))) {   

    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {  

        print_r($row);  

    }  

}  

?>

id参数的值使用?占位符，数值写在execute里面，这样可以使用pdo的防注入机制转义特殊字符。

参考：http://blog.csdn.net/fdipzone/article/details/22330345

0 2016-01-17 21:53:00

只看TA 引用举报 #3 得分 10

雨雪飘零 本版专家分：0: 可是我是ldap,不是sql。。。。

0 2016-01-17 22:05:32

只看TA 引用举报 #4 得分 0

⋅傲雪星枫的留言板

⋅为什么我的C币没有消费过会突然减少了

⋅为什么博客文章发布修改都要等比较长的时间才能审核

更多帖子

关注私信空间博客

傲雪星枫

本版专家分：64957

版主

优秀版主 2016年10月优秀小版主

铜牌 2017年1月总版技术专家分月排行榜第三

红花 2017年2月 PHP大版内专家分月排行榜第一
2017年1月 PHP大版内专家分月排行榜第一

黄花 2017年7月 PHP大版内专家分月排行榜第二
2017年6月 PHP大版内专家分月排行榜第二
2017年5月 PHP大版内专家分月排行榜第二
2017年4月 PHP大版内专家分月排行榜第二
2017年3月 PHP大版内专家分月排行榜第二
2016年12月 PHP大版内专家分月排行榜第二
2016年11月 PHP大版内专家分月排行榜第二
2016年10月 PHP大版内专家分月排行榜第二
2016年9月 PHP大版内专家分月排行榜第二
2016年7月 PHP大版内专家分月排行榜第二
2016年6月 PHP大版内专家分月排行榜第二
2016年3月 PHP大版内专家分月排行榜第二
2016年2月 PHP大版内专家分月排行榜第二
2016年1月 PHP大版内专家分月排行榜第二
2015年11月 PHP大版内专家分月排行榜第二
2015年10月 PHP大版内专家分月排行榜第二
2015年8月 PHP大版内专家分月排行榜第二
2015年7月 PHP大版内专家分月排行榜第二
2015年6月 PHP大版内专家分月排行榜第二
2015年4月 PHP大版内专家分月排行榜第二
2015年3月 PHP大版内专家分月排行榜第二
2015年2月 PHP大版内专家分月排行榜第二
2015年1月 PHP大版内专家分月排行榜第二
2014年12月 PHP大版内专家分月排行榜第二
2014年11月 PHP大版内专家分月排行榜第二
2014年10月 PHP大版内专家分月排行榜第二
2014年9月 PHP大版内专家分月排行榜第二
2014年8月 PHP大版内专家分月排行榜第二
2014年7月 PHP大版内专家分月排行榜第二
2014年6月 PHP大版内专家分月排行榜第二: ldap_escspe 只是将 \ 转义成 \5c
模拟一下不就可以了吗？

function ldap_escspe($str){
return str_replace('\\', '\\5c', $str);
}

0 2016-01-17 22:39:04

只看TA 引用举报 #5 得分 20

ldap_search 如何防止注入攻击，请高手指点 [问题点数：40分，结帖人ligaoyang]