php防止mysql注入

最新推荐文章于 2024-03-27 00:15:17 发布
最新推荐文章于 2024-03-27 00:15:17 发布
阅读量4.5k 收藏 4
点赞数
分类专栏: 网站安全 文章标签: mysql php Mysql注入 函数 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26291823/article/details/50460625
版权

php防止mysql注入

ps:本人亲测,阿里云2核4G5M的服务器性价比很高,新用户一块多一天,老用户三块多一天,最高可以买三年,感兴趣的可以戳一下:阿里云折扣服务器

**1、PHP预定义字符是:**单引号(’)、双引号(")、反斜杠(\)、NULL

注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

2、mysql注入所必须的两个条件:

(1)没有过滤(用mysql_real_escape_string()进行过滤)

(2)没有转义(PHP自带转义magic_quotes_gpc()=on,如果关闭,则可以用addslashes()进行转义)

Php面对传值的三个安全过滤步骤:
1、trim():函数过滤掉头和尾的空格
2、Htmlspecialchars():函数把预定义字符串转化为实体,可以防止因为PHP_SELF带来的XSS攻击
3、Stripslashes():去掉反斜杠
4、Addslashes():添加反斜杠

php防注入安全过滤函数:

function check_input($data){
        //对特殊符号添加反斜杠
        $data = addslashes($data);
        //判断自动添加反斜杠是否开启
        if(get_magic_quotes_gpc()){
            //去除反斜杠
            $data = stripslashes($data);
        }
        //把'_'过滤掉
        $data = str_replace("_", "\_", $data);
        //把'%'过滤掉
        $data = str_replace("%", "\%", $data);
        //把'*'过滤掉
        $data = str_replace("*", "\*", $data);
        //回车转换
        $data = nl2br($data);
        //去掉前后空格
        $data = trim($data);
        //将HTML特殊字符转化为实体
        $data = htmlspecialchars($data);
        return $data;
    }
空白_回忆
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpmysqli注入攻略
我点评的博客
08-01 315
为了防止SQL注入攻击,我们可以使用mysqli类中的prepare语句、mysqli_real_escape_string函数以及正确的数据类型等方法。在使用mysqli_real_escape_string函数时,我们需要将需要转义的字符串作为第一个参数传入函数中。mysqli是PHP中与MySQL交互的扩展,它提供了一种有效的防止SQL注入攻击的方法。mysqli_real_escape_string函数mysqli扩展中一个非常重要的函数,它可以将特殊字符转义,从而避免SQL注入攻击。
php+MySQL防止sql注入
php-yyds
11-12 445
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效地防止了SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
MySQL中还有其他防止SQL注入攻击的方法吗?
最新发布
长风破浪会有时的博客
03-27 199
这就像是我们在收到用户的信件之前,先检查一下信件的内容,看看里面有没有不合适或者危险的东西。在MySQL中,使用存储过程和视图可以限制用户对数据库的访问,并且能够封装数据,降低注入攻击的风险。这就像是我们只给数据库的用户必要的权限,不让他们做多余的事情。在MySQL中,我们可以为数据库用户分配最低的权限,这样即使发生了SQL注入攻击,攻击者也只能获取到有限的敏感信息,无法对数据库进行更多的破坏。总的来说,防止SQL注入攻击的方法有很多,我们可以根据实际情况选择适合的方法来保护数据库的安全
php操作mysql防止sql注入
chuaiyuan6611的博客
06-02 360
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
mysql注入 php_PHP+Mysql防止SQL注入的方法
weixin_35698035的博客
01-18 252
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入的方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下相关mysql视频教程推荐:《mysql教程》方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users wher...
PHP+mysql防止SQL注入的方法小结
10-17
主要介绍了PHP+mysql防止SQL注入的方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
防止MySQL注入或HTML表单滥用的PHP程序
10-30
据悉,如果表单无担保,MySQL形式的恶意代码注入将攻击网站。HTML表单如下拉菜单,搜索框和复选框都容易成为这类型侵入的切入点。本文将解释所发生的这种攻击,以及如何防止它。已知的安全事项和背景。
php防止sql注入简单分析
10-24
主要介绍了php防止sql注入的方法,简单分析了通过stripslashes及mysql_real_escape_string函数进行字符转移处理的技巧,非常具有实用价值,需要的朋友可以参考下
PHP面试题11】PHP如何防止SQL注入
黑夜开发者的博客
06-25 1195
SQL注入攻击是一种常见的Web安全漏洞,可以采用多种方法来防止SQL注入攻击。使用PHP预处理语句和绑定变量可以有效地避免这种攻击。预SQL注入攻击的最佳实践包括验证用户输入数据、禁止拼接字符串、使用filter_input()函数等。
PHP 防止SQL注入漏洞
XF Android专栏
01-30 356
开发项目时,不止要考虑项目快速上线,考虑到项目的质量,同时重中之重要考虑到项目的安全性,防止数据泄露,防止数据库被删除,防止数据被篡改等严重的漏洞问题,今天分享一个简单的SQL注入御,通过在项目入口文件直接引用该类,能御大部分的表单提交注入的sql语句。涉及到一些特殊的SQL指令,需要自行添加。
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
PHPMYSQL注入及转义存在潜在威胁的字符串插件.rar
07-14
PHPMYSQL注入及转义存在潜在威胁的字符串插件介绍: 1.插件作用: 本插件对用户提交的信息进行过滤可以防止数据库注入,及转义用户可能提交的会被执行的脚本代码使之转为字符串,从而保证了网页的正常显示和数据库数据的安全。   2.插件说明: 阻止任何可能攻击服务器的意图,或者防止插入一些不需要的MySql命令、HTML语句或者Javascript脚本。 插件的两个个方法接受一个字符串,对它进行"过滤"处理后,就可以用在自己的网站上或MySql数据库里。 他们都需要一个参数: $string 一个需要"过滤"处理的字符串。   3.包含SanitizeString.class.php类文件,实例化,用得到的对象根据需求分别调用PIPHP_SanitizeString方法或者PIPHP_MySQLSanitizeString,前者为将可能会被执行的如js代码转义为普通字符串,后者为数据库注入过滤
mysql php 注入,PHP+mysql防止SQL注入的方法小结
weixin_31708209的博客
03-11 284
本文实例讲述了PHP+mysql防止SQL注入的方法。分享给大家供大家参考,具体如下:SQL注入例:脚本逻辑$sql = "SELECT * FROM user WHERE userid = $_GET[userid] ";案例1:SELECT * FROM t WHERE a LIKE '%xxx%' OR (IF(NOW=SYSDATE(), SLEEP(5), 1)) OR b LIKE '...
PHP使用 mysqli 并SQL注入
perthblank
01-28 1万+
自从 php5 推出 mysqli 后就开始不提倡使用 mysql_ 开头的接口了,现在使用 mysql_connet 通常调试的时候会报警告说这个不该用 mysqli 使用起来其实更简单 $url = "localhost"; $usr = "root"; $paw = "123"; $database = "mdb"; //$link = 0; $link = mysqli_co
mysql注入方法_防止SQL注入的六种方法
weixin_36428079的博客
02-02 5097
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
防止mysql注入
liuhongwei_study的专栏
08-03 666
防止mysql注入      使用函数mysql_real_escape_string $sql = "UPDATE users SET  name='.mysql_real_escape_string($name).' WHERE id='.mysql_real_escape_string ($id).'";    
mysql 自带注入_MySQL 如何防止sql注入
weixin_31201555的博客
01-19 641
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
[Mysql] 御和检查SQL注入攻击的手段
天天-工作博客
08-09 6803
SQL注入攻击的种类   知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。   1.没有正确过滤转义字符   在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操
TP5框架 《sql注入xss攻击》
热门推荐
涛々的技术博客
01-23 1万+
如题:tp5怎么sql注入 xss跨站脚本攻击呢? 其实很简单,TP框架中有自带的,在 application/config.php 中有个配置选项: 框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则: // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars,addslashes,strip_tags'...
mysql如何防止sql注入
08-22
MySQL可以通过以下几种方法来防止SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证和过滤:对于用户输入的数据,进行必要的验证和过滤,确保输入符合预期的数据格式和类型。可以使用正则表达式、白名单过滤等方法来实现。 3. 使用编码函数和转义字符:对于需要将用户输入作为字符串插入到SQL语句中的情况,可以使用编码函数(如PHP中的`mysqli_real_escape_string`)或转义字符(如将单引号转义为两个单引号)对特殊字符进行转义,从而避免被误认为SQL语句的一部分。 4. 最小权限原则:为了减少攻击者利用SQL注入攻击获取敏感数据的风险,应该在MySQL使用最小权限原则。即为每个应用程序或用户提供所需的最低权限,限制其对数据库的操作范围。 5. 定期更新和维护:及时更新MySQL数据库和相关软件的补丁和升级版本,以修复已知的安全漏洞,并定期审查和维护数据库权限及用户访问控制机制。 除了以上方法,还可以使用Web应用火墙(WAF)或其他网络安全设备来监控和拦截可能的SQL注入攻击。综合采用多种护措施可以提高数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值