一些防范sql注入式攻击的比较有见地的代码(PHP)

最新推荐文章于 2021-06-05 10:35:44 发布
最新推荐文章于 2021-06-05 10:35:44 发布
阅读量1.4k 收藏
点赞数
分类专栏: php MySql 我的原创 我的收藏 文章标签: sql php mysql function string input
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gayayang/article/details/7929974
版权
php 同时被 3 个专栏收录
177 篇文章 0 订阅
订阅专栏
我的收藏
162 篇文章 0 订阅
订阅专栏
每日成长
114 篇文章 0 订阅
订阅专栏 
$_POST = sql_injection($_POST);
$_GET = sql_injection($_GET);




function sql_injection($content)
{
if (!get_magic_quotes_gpc()) {
if (is_array($content)) {
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
addslashes($content);
}
}
return $content;
}









做系统的话,可以用下面的代码,也是copy来的:




/* 
函数名称:inject_check() 
函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全 
参  数:$sql_str: 提交的变量 
返 回 值:返回检测结果,ture or false 
*/ 
function inject_check($sql_str) { 
return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // 进行过滤 
} 

/* 
函数名称:verify_id() 
函数作用:校验提交的ID类值是否合法 
参  数:$id: 提交的ID值 
返 回 值:返回处理后的ID 
*/ 
function verify_id($id=null) { 
if (!$id) { exit('没有提交参数!'); } // 是否为空判断 
elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断 
elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断 
$id = intval($id); // 整型化 

return $id; 
} 

/* 
函数名称:str_check() 
函数作用:对提交的字符串进行过滤 
参  数:$var: 要处理的字符串 
返 回 值:返回过滤后的字符串 
*/ 
function str_check( $str ) { 
if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开 
$str = addslashes($str); // 进行过滤 
} 
$str = str_replace("_", "\_", $str); // 把 '_'过滤掉 
$str = str_replace("%", "\%", $str); // 把 '%'过滤掉 

return $str; 
} 

/* 
函数名称:post_check() 
函数作用:对提交的编辑内容进行处理 
参  数:$post: 要提交的内容 
返 回 值:$post: 返回过滤后的内容 
*/ 
function post_check($post) { 
if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开 
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
} 
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉 
$post = str_replace("%", "\%", $post); // 把 '%'过滤掉 
$post = nl2br($post); // 回车转换 
$post = htmlspecialchars($post); // html标记转换 

return $post; 
} 
?>

还有一个就是:

//预防数据库攻击的正确做法:

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

需要注意的是, mysql_real_escape_string()函数和addslashes()的功能类似。mysql_real_escape_string()效果更好。但因为mysql_real_escape_string()函数是必须在mysql连接之后才可以使用的.所以基于这个问题,我觉得还是使用addslashes()这个函数比较不错。

wuxieprobe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET防范SQL注入攻击的方法
01-02
一、什么是SQL注入攻击?  SQL注入攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
injectcheck php_PHP安全最大化
weixin_39725365的博客
12-22 313
在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来防止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)上面文章是安全焦点上的关于PHP安全的文章,基本上比较全面的介绍了关...
php防止注入工具的函数,PHP的一些防注入函数
weixin_34207865的博客
03-10 276
PHP的一些防注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
injectcheck php_external/plugins/check_inject/main.plugin.php · water176142735/ECMOS - Gitee.com
weixin_39687189的博客
12-22 84
/*** 店铺地址简写插件** @return array*/class Check_injectPlugin extends BasePlugin {function execute() {if (defined('IN_BACKEND') && IN_BACKEND === true) {return; // 后台无需执行} else {$inject_flag = $thi...
injectcheck php_php防注入
weixin_33260887的博客
01-13 143
/**通用防注入* add by wangbin,2011-07-10* email:[email protected]*/function inject_check($str){$tmp=preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/', $str); /...
PHP中的代码安全和SQL Injection防范
heiyeluren的blog(黑夜路人的开源世界)
06-14 8737
PHP中的代码安全和SQL Injection防范注意: 本文已经发表在2005年4月的杂志上, 请勿转载。/************************* * 作者:heiyeluren * QQ:37035600  * Email:[email protected] *************************/在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器
PHP代码网站如何防范SQL注入漏洞攻击建议分享
12-19
今天就通过PHPMySQL数据库为例,分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议。 什么是SQL注入SQL Injection)? 简单来说,SQL注入是使用代码漏洞来获取网站或应用程序...
防范SQL注入攻击
10-29
SQL注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
injectcheck php_php简单实现sql防注入的方法
weixin_39807691的博客
12-22 85
本文实例讲述了php简单实现sql防注入的方法。分享给大家供大家参考,具体如下:这里没有太多的过滤,主要是针对phpmysql的组合。一般性的防注入,只要使用php的 addslashes 函数就可以了。以下是一段copy来的代码PHP代码:$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_inje...
注入攻击-SQL注入代码注入
12-14
注入攻击   OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功。虽然这是明显的组合关系,但是注入攻击带来的不仅仅是 XSS。   注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方来执行恶意数据。这种类别的攻击包括跨站脚本攻击(XSS)、SQL 注入攻击、头部注入攻击、日志注入攻击和全路径暴露。当然限于篇幅,这里只是一个简单的介绍。   这类攻击是每个程序员的梦魇。它们数量庞大、攻击范围广,并且有时候防御措施很复杂,因此是常见、成功率高的网络攻击。所有
injectcheck php_php中防止sql注入的解决方法总结
weixin_39957318的博客
12-22 112
sql注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。为了防止SQL注入攻击PHP自带一些函数可以对输入的字符串进行处理,例如PHPMySQL操作函数中有addslashes()、mysql_real_escape_strin...
PHP最全防止sql注入方法
热门推荐
zhao_teng的博客
09-20 1万+
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下:   $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...
html攻击原理,常见Web攻击(1)—— 代码注入攻击
weixin_29349579的博客
06-05 2046
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?从安全的角度来看,Http协议具有以下特点:单纯Http在协议层面不具备必要的安全功能在客户端可篡改Http请求,使得攻击更容易实现因此,在对外提供Http服务时,要保持不信任用户输入的原则,谨慎防范可能发生的Http攻击。在此小结一下比较常见的代码注入类Web攻击,以及对应的防范方法。所谓代码注入众所周知,程序是由代码...
通用的PHP防注入漏洞攻击的过滤函数代码
x163326的专栏
10-22 2091
转自:http://www.q3060.com/list3/list117/17015.html //PHP整站防注入程序,需要在公共文件中require_once本文件  //判断magic_quotes_gpc状态  if (@get_magic_quotes_gpc ()) {  $_GET = sec ( $_GET );  $_POST = sec ( $_POST ); 
Web安全之SQL注入攻击
chuangzaoshi7163的博客
08-12 1118
什么是SQL注入攻击? 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。常见的...
防有SQL注入攻击代码
weixin_30463341的博客
07-12 63
在Global.asax文件中加入如下方法即可: #region SQL注入攻击代码分析 /// /// 处理用户提交的请求 /// private void StartProcessRequest() { try { ...
检测SQL注入攻击代码
weixin_33923762的博客
11-27 518
(页面数据校验类)PageValidate.cs 基本通用。 using System; using System.Text; using System.Web; using System.Web.UI.WebControls; using System.Text.RegularExpressions; namespace Common { /// ...
PHP防注入的最简单函数
weixin_33898233的博客
05-29 91
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=&gt;$value) {$content[$key...
分析防范SQL注入攻击的方法
最新发布
04-23
防范SQL注入攻击可以从以下几个方面入手: 1.输入合法性检查:应用程序应对所有用户输入的数据进行过滤和验证,以确保输入的数据格正确,且不包含任何非法字符。可以使用验证码、正则表达等方进行输入验证,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值