标题: PHP编程:技能:PHP原版HTML编码器溢出成绩的处理... [打印本页] 作者: 深爱那片海 时间: 2015-2-4 00:01 标题: PHP编程:技能:PHP原版HTML编码器溢出成绩的处理... 那么接下来,这就算学会啦?NO,NO,NO,还早呢,你至尽还没碰过OOP之类的吧?模板呢? PHP5.1.6、4.4.4及之前版本中,在查找关于“htmlspecialchars() and htmlentities() ”相干字符编码的时分,当UTF-8编码被选择的时分能够会触发一个能够的缓冲器溢出。
“While we were searching for a hole in htmlspecialchars() and htmlentities() to bypass the encoding of certain chars to exploit a possible eval() injection hole in another application we discovered that the implementation contains a possible bufferoverflow that can be triggered when the UTF-8 charset is selected.”
最新刊行的PHP5版本5.2已修改了这个毛病,然而该成绩依然在PHP4.4 版本中存在。全体信息可以在the full vulnerability 检查到。