2024年5月4日发(作者：)

php addslashes绕过方法

【最新版3篇】

篇1 目录

中 addslashes 的作用

shes 绕过方法的原理

3.利用反斜杠绕过 addslashes 的实例

4.防止绕过的方法

篇1正文

一、PHP 中 addslashes 的作用

在 PHP 中，addslashes() 函数的作用是将字符串中的反斜杠（）转

义，从而避免在输出时被解释为特殊字符。这在处理从外部获取的数据，

如用户输入、文件内容等时，非常有用。

二、addslashes 绕过方法的原理

addslashes 绕过方法主要是利用反斜杠（）作为转义字符的特点，

通过在字符串中插入反斜杠，使得原本应该被转义的反斜杠不被转义，从

而达到绕过 addslashes 的目的。

三、利用反斜杠绕过 addslashes 的实例

举个例子，我们有一个字符串："This is a test

string withttabs and spaces."，对其使用 addslashes() 函数进

行转义，结果为："This is a test0nstring with0ttabs and spaces."，

可以看出，反斜杠（）被转义成了斜杠（/）。如果我们在原始字符串中插

入反斜杠，如："This is a test0

string with0ttabs and spaces."，使用 addslashes() 函数转义后，

结果为："This is a test

第 1 页 共 5 页

string withttabs and spaces."，此时反斜杠（）没有被转义，从

而实现了绕过 addslashes 的目的。

四、防止绕过的方法

要防止这种绕过方法，可以在处理用户输入等外部数据时，对数据进

行多层次的过滤和检查，确保输入的数据符合预期格式。

篇2 目录

中 addslashes 函数的作用

shes 函数绕过方法的原理

3.利用反斜杠进行绕过

4.利用双反斜杠进行绕过

5.使用 urldecode 函数进行绕过

6.使用 htmlspecialchars_xss 函数进行绕过

篇2正文

一、PHP 中 addslashes 函数的作用

在 PHP 中，addslashes 函数是一种处理字符串的函数，主要用于在

字符串中添加反斜杠（）以避免在输出时被解释为转义字符。例如，当需

要在字符串中包含一个双引号（"）时，可以使用 addslashes 函数进行

处理，以避免在输出时被当作结束标志。

二、addslashes 函数绕过方法的原理

addslashes 函数在处理字符串时，会将其中的反斜杠（）进行转义，

从而避免在输出时被解释为转义字符。然而，这种转义机制也存在被绕过

的可能性。攻击者可以通过在字符串中插入特定的字符序列，来实现对

addslashes 函数的绕过。

三、利用反斜杠进行绕过

第 2 页 共 5 页

在 PHP 中，反斜杠（）被视为转义字符，用于表示特殊含义。攻击

者可以利用这一点，在字符串中插入反斜杠，从而实现对 addslashes 函

数的绕过。例如，在字符串中插入""，可以使得 addslashes 函数无法识

别该字符串中的双引号。

四、利用双反斜杠进行绕过

双反斜杠（）在 PHP 中表示一个反斜杠（），因此，攻击者可以利用

双反斜杠进行绕过。在字符串中插入""，可以使得 addslashes 函数无法

识别该字符串中的双反斜杠。

五、使用 urldecode 函数进行绕过

urldecode 函数在 PHP 中用于解码 URL 编码，可以将 URL 编码后

的字符串转换为普通字符串。攻击者可以利用这一点，在字符串中插入

URL 编码的反斜杠，从而实现对 addslashes 函数的绕过。例如，在字符

串中插入"%5C"，可以使得 addslashes 函数无法识别该字符串中的反斜

杠。

六、使用 htmlspecialchars_xss 函数进行绕过

htmlspecialchars_xss 函数在 PHP 中用于将 HTML 实体进行转义，

从而避免在输出时被解释为 HTML 标签。攻击者可以利用这一点，在字符

串中插入 HTML 实体的反斜杠，从而实现对 addslashes 函数的绕过。

篇3 目录

中的 addslashes 函数

shes 函数的作用

shes 函数的绕过方法

4.安全建议

篇3正文

一、PHP 中的 addslashes 函数

第 3 页 共 5 页

在 PHP 中，addslashes 函数是一种用于转义字符串中反斜杠的方法。

反斜杠（）在 PHP 中具有特殊含义，用于表示转义字符序列，如换行、

制表符等。当需要在字符串中包含反斜杠时，可以使用 addslashes 函数

进行转义。

二、addslashes 函数的作用

addslashes 函数的作用是将字符串中的反斜杠（）转换为两个反斜

杠（），以确保在输出时不会被解释为特殊字符。例如，当需要将字符串

"Hello, World!

"输出到页面时，由于

表示换行，因此需要使用 addslashes 函数进行转义，变为"Hello,

World!

"。

三、addslashes 函数的绕过方法

虽然 addslashes 函数可以有效地转义反斜杠，但在某些情况下，它

可能会被攻击者利用来绕过安全防护措施。攻击者可能会在输入中插入多

个反斜杠，使得在经过 addslashes 处理后，仍然可以保留原始的反斜杠，

从而达到执行恶意代码的目的。

四、安全建议

为了避免这种安全风险，可以采取以下措施：

1.使用预处理语句（prepared statements）进行数据库操作，以避

免 SQL 注入攻击。

2.对用户输入进行严格的验证和过滤，确保输入的数据符合预期的格

式和范围。

3.使用 PHP 内置的过滤函数，如 filter_var，对用户输入进行过滤。

4.在处理用户输入时，尽量使用单引号（"）代替双引号（"），以降

第 4 页 共 5 页

低攻击者利用反斜杠进行注入攻击的风险。

总之，虽然 addslashes 函数在 PHP 中有其用武之地，但在处理用

户输入时，仍需谨慎使用，避免给攻击者留下可乘之机。

第 5 页 共 5 页