从某cmsV4.1.0 sql注入漏洞看程序开发安全隐患
# CMS V4.1.0 SQL注入漏洞分析与安全开发实践
## 一、CMS防护机制分析
### 1.1 程序入口过滤机制
#### set_globals方法
- 将GET与POST参数赋值到$GLOBALS数组
- 使用`gpc_stripslashes`处理传入键值
- 特殊行为:当`MAGIC_QUOTES_GPC`开启时,**去除**其添加的转义符
#### input方法
- 对$GLOBALS数组中的值通过`sql_replace`进行SQL过滤
- 开发者意图:保持原始输
2025-08-26 23:56:14
0