小组PHP

使用ldap_search函数查询,如何防止注入攻击呢?

有ldap_escspe函数,但是php版本需要>=5.6,我目前使用的是5.3,就不能使用了。

我的客户说需要将一些特殊字符转义,这个我同意。

问题是客户认为,ldap_search函数中的filter参数需要用单引号引起来,才能有效防止注入攻击。

但实际上filter部分使用单引号引起来后,会出现如下错误信息:

bad search filter

客户这么认为,是因为在命令行下,使用ldapsearch命令查询时,filter部分不加单引号是会报错的,我试了一下,确实是这样。

可是在使用php提供的ldap_search函数时,恰恰相反,不加单引号是对的,加入单引号报出 bad search filter 错误。到我却不知道为什么会这样。

望高手指点,使用php的ldap_search函数,filter参数是否需要用单引号引起来?

还有就是,ldap到底用什么方式防止注入攻击?

望大师不吝赐教。

2 收藏


直接登录