防止sql注入

最新推荐文章于 2024-05-21 12:45:25 发布
最新推荐文章于 2024-05-21 12:45:25 发布
阅读量176 收藏 1
点赞数
文章标签: php html sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Echo_liuhongguo/article/details/103085250
版权

防止sql注入

在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。

1)addslashes()作用及使用

addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义

如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;

2)htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。

<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script&gt

3)addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外,它们的使用也不同。

addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。

但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。

这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。

“阳”春三月
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP关于htmlspecialchars、strip_tags、addslashes的解释
01-20
PHPhtmlspecialchars、strip_tags、addslashes是网页程序开发中常见的函数,今天就来详细讲述这些函数的用法: 1.函数strip_tags:去掉 HTMLPHP 的标记 注意:本函数可去掉字串中包含的任何 HTMLPHP 的标记字串。若是字串的 HTMLPHP 标签原来就有错,例如少了大于的符号,则也会传回错误。而本函数和 fgetss() 有着相同的功能。fgetss是从文件中读取文件,并去掉htmlphp标记。 2.函数htmlspecialchars, 将特殊字元转成 HTML 格式 具体来说本函数会转化以下字符: & (和) 转成
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
phphtmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 478
防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
javascript的html编码函数 (htmlSpecialChars-处理特殊字符)
weixin_33816821的博客
08-19 598
function htmlSpecialChars(str) { str = str.replace(/&/g, '&amp;'); str = str.replace(/</g, '&lt;'); str = str.replace(/>/g, '&gt...
javascript addslashes trim
fareast_mzh的博客
09-18 1043
* php addslashes function addslashes(s) { return s.replace(/\\/g, '\\\\'). replace(/\u0008/g, '\\b'). replace(/\t/g, '\\t'). replace(/\n/g, '\\n'). replace(/\f/g,...
php实战案例记录(8)去除XSS的函数
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
10-02 568
addslashes()函数是PHP中的内置函数,用于将字符串中的特殊字符(如单引号、双引号、反斜杠等)前面添加反斜杠,以便在SQL语句中使用或者避免跨站点脚本攻击(XSS)。该函数的语法为:addslashes(stringstring。其中,string参数为必需,用于指定需要处理的字符串。在上面的例子中,addslashes()函数将字符串$str中的单引号前面添加了反斜杠,从而得到转义后的字符串。
php 过滤函数简介用于跨站分析
Yatere的天平秤
11-22 764
过滤字符$text: '". //小于、空格、大于、单引号、双引号。 使用函数:addslashes($text) \'\".//转换单双引号 使用函数:htmlentities($text)    默认第二个参数( ENT_COMPAT  )  仅编码双引号。 < >'". //仅转换了 小于、大于、双引号,未过滤单引号和空格
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
C# MVC 过滤防止SQL注入
09-15
C# MVC 过滤防止SQL注入
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
htmlspecialchars定义和用法
aimder的博客
08-09 1008
htmlspecialchars 定义和用法 htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ’ (单引号)成为 ’ < (小于)成为 < > (大于)成为 > ...
JS中正则表达式替换单引号等说明
IT点滴
09-05 9930
一般情况下,在拼接字符串为json格式的过程中,如果字符串含有单引号,双引号等特殊字符时,在解析json的过程中就会报错。同样,在别的格式使用的时候也会报错。 通常做法是将其替换为非特殊字符,然后再将其还原。 如下: var word = "I'm json!" var replacedWord = word.replace(/'/g,'&apos;'); 然后再使用时又替换回来: v
php过滤字符串的addslashes函数
yn2010
05-23 445
为了数据安全,防止注入需要过滤$_GET获得的字符串,一开始我还自已写过滤的函数,后来看到php自带的一个过滤函数,所以把addslashes推荐给大家。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。这样可以将数据放入数据库中,而不会插入额...
php禁用文本域中的符号,JS控制文本框禁止输入特殊字符
weixin_32029863的博客
03-10 272
JS控制不能输入空格JS控制不能输入特殊字符JS控制文本框只能输入数字JS控制文本框只能输入数字、小数点JS控制文本框只能输入英文JS控制文本框只能输入英文、数字JS控制文本框只能输入中文JS控制文本框只能输入中文、英文、数字JS控制文本框只能输入中文、英文、数字、空格JS控制文本框只能输入中文、英文、数字、小数点输入之后立即清除://验证输入框内不能输入特殊字符输入就立刻清除f...
php 过滤危险字符,php过滤特殊危险字符的总结
weixin_32236671的博客
03-11 109
php教程可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求比如这样代码如下 复制代码if (!get_magic_quotes_gpc()) {add_slashes($_GET);add_slashes($_POST);add_slashes($_COOKIE);}function add_sl...
PHP防止SQL注入的方法
tongluren381的博客
10-20 3668
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
XSS跨站脚本攻击之——html special chars()函数
温柔小薛的博客
04-05 872
XSS绕过之html special chars()函数 功能 htmlspecialchars()函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &amp " (双引号)成为 &quot ’ (单引号)成为&#039 < (小于)成为 &lt >(大于)成为 &gt 语法 该函数的语法:ht...
【Web】CISCN 2024初赛 题解(全)
最新发布
uuzeray的博客
05-21 1032
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样可以有效地防止SQL注入攻击。 另一种方法是使用框架中的特定功能来防止SQL注入。比如在MyBatis中,可以使用#{}表达式来代替直接拼接参数值到SQL语句中。这种方式类似于PreparedStatement,能够对参数进行预编译处理,从而避免SQL注入攻击。 此外,还可以通过对请求参数进行敏感词汇过滤防止SQL注入。在接收到用户输入的参数之后,可以对参数值进行过滤,排除其中的敏感词汇,从而减少SQL注入的风险。 总之,通过使用PreparedStatement、特定框架的防注入功能以及对参数进行敏感词汇过滤,可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值