내 웹 사이트는 utf-8 (mysql, http 헤더, PHP mb_string 등)을 사용하도록 완전히 변환되었습니다.내 PHP 웹 사이트에서 잘못된 utf8을 필터링하는 것은 무엇입니까?
Im은 일부 침투 테스트를 수행하고 잘못된 utf를 스크립트 중 하나 (BurpSuite 사용)에 POST하려고합니다.
하지만 유효하지 않은 utf를 게시 할 때 $ _POST var를 16 진수로 덤프하는 경우 mb_detect_encoding을 사용하여 유효성을 검사하기 전에 유효하지 않은 utf 시퀀스가 이미 삭제 된 것으로 나타납니다.
나에게 좋은 소식이지만, 어느 레이어가 POST 데이터를 변환하는지 알고 싶습니까?
Content-Type HTTP 헤더의 부작용입니까, 아마도 내 웹 서버가 lighttpd를 수행하고있는 것일 수 있습니다. 또는 PHP 자체에서 $ _POST를 채울 때입니까?
내가 부적절한 utf hexdumped를 볼 것으로 예상되어 나를 위생적으로 만들었습니다.
더 많은 정보가 도움이 될 것입니다, 당신은 프레임 워크에 있습니까? 어떤 PHP 버전을 사용하고 있습니까? 코드 샘플 등을 볼 수 있습니까 –
게시 한 내용과 돌아온 내용을 볼 수 있습니까? – Brad
아니요, 프레임 워크가 없습니다. 그냥 바닐라 PHP와 burpsuite에서 원시 HTTP 요청, 그리고 나서 PHP 스크립트는 단순히 $ _POST [ "formvalue"]를 16 진수로 덤프합니다. $ _REQUEST/$ _ POST 또는 hexdumping하기 전에 코드에 사용자 입력을 사전 처리 할 필요가 없습니다. 예제를 지금 정렬 ... – carpii