防注入的问题

最新推荐文章于 2022-04-15 17:42:25 发布
最新推荐文章于 2022-04-15 17:42:25 发布
阅读量366 收藏
点赞数
文章标签: 正则表达式 insert sql socket php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HUMHSX/article/details/6944685
版权
 

从表单接受到$_POST[‘*’]

该信息内容可能包括  “ ‘   空格 特殊符号

 例如   “ user‘’‘’abc

        $_POST[‘pass’] =” “” and  (select * from tbl_usr)”

防注入(攻击)

  PHP安全问题:

1、 注入

SQL

  在用户执行注册过程中口令内容部分使用了类似

(select insert update delete and or etc.)

eregi(“正则表达式”,“判断字符串”,$name);

 eregi($pattern ,)

  $pattern=(select|insert|update)

     Addslashes()

     \  :转义字符

2、 php

1、 register_glabals=off|on

        $_POST[name]

        $name

3、 SQL语句尽量不要省略引号

4、 $_POST(GET COOKIE )过滤后在接受

5、 命名数据库

6、 尽量封装方法,避免暴露

7、 重定向

考虑:web项目有多少,

      过滤过程写成函数单独存成一个文件

验证码

设计表

Username  password  。。 status  md5name

Zhangsan   123456        0     

登录

 Name password  status=1

http//localhost/test.php?name=……

name=ziduan

 update    status=1

1IIS---SMTP(发送)

2hMailServer软件(SMTP

Php  mail()----组件

注意:localhost  - 当作垃圾邮件  拒收

      虚拟主机---域名

3smtp.163.com  用户名  密码

   Socket类:

HUMHSX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql注入问题
11-27
注入大行其道的互联网,要保护好自己的网站不被别人恶意利用,是需要很多时间和精力,我把我自己最常用的php+mysql 注入手段写下来,希望会对大家有点用处。
PHP注入安全代码
10-30
判断传递的变量中是否含有非法字符我们把以下代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6451
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
代码注入
weixin_30546189的博客
04-20 134
有些网站特别容易受到攻击,所以我们要写一写东西止代码注入,首先我们新建一个global.asax文件并在该global.asax.cs文件中添加 1 protected void Application_BeginRequest(object sender, EventArgs e) 2 { 3 //遍历Post参数,隐藏域除外 ...
枫叶注入程序漏洞
weixin_34111819的博客
08-10 124
关键字:inurl:pro_show.asp?showid=该程序采用枫叶通用注入1.0asp版,此注入完全鸡肋,该类型网站程序pro_show.asp有cookies注入或者变型注入注入前可以先判断一下字段数:ORdeR By xx注入语句:ANd 1=1 UNiOn SElEcT 1,username,3,4,5,6,7,8,9,10,password,12,13,14,15,16,17...
[引用]信息检索及信息过滤方法概述
weixin_33935505的博客
09-16 711
  信息检索及信息过滤方法概述 A Survey of Information Retrieval and Filtering Methods 1995年 Christos Faloutsos and Douglas Oard University of Maryland College Park, MD 20742 {christos,oard}@eng.umd.edu ...
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
php注入代码
10-12
就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
MySQL注入攻击与
02-25
下面几点是注入中经常会用到的语句控制语句操作(select,case,if(),...)比较操作(=,like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有...
mysql注入方案_如何SQL注入SQL注入解决方案
weixin_42102272的博客
01-19 419
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库中,就有可能发生SQL注入安全问题,那么,如何SQL注入呢?针对SQL注入安全问题的预,需时刻认定用户输入的数据是不安全的,并对用户输入的数据进行过滤处理,对不同的字段进行条件限制,符合条件的可以写入数据...
php中过滤敏感词,PHP实现过滤留言信息中的敏感词
weixin_34697150的博客
03-29 476
PHP实现过滤留言信息中的敏感词一 代码检测留言信息的敏感词姓名:style="COLOR: #ff0000">*标题:*内容:*if($_POST){if (is_file("./filterwords.txt")){//判断给定文件名是否为一个正常的文件$filter_word = file("./filterwords.tx...
java filter 放哪里_Java开发网 - 请教:把这个实现filter用的文件放到哪呢?
weixin_39658318的博客
02-13 329
Posted by:forx86Posted on:2006-08-06 11:09用的tomcat 5.5,论坛中提供的这个实现filter用的java文件是否要事先编译为class文件?若不用,这个java文件放到哪呢?“对于post方式建议用配置过滤器的方式来解决,因为这样,配置一个地方整个系统都不用操心了。简单说明:web.xmlSet Character EncodingSetChara...
PHP弱类型及绕过方式(一)
qidiandexiaowu
05-03 1917
前言:学长带着我们学习了一些PHP弱类型,现在总结记一下。 目录: 0×01.extract函数变量覆盖 0×02.strcmp函数数组漏洞 0×03.urldecode二次密码绕过 0×04.md5函数加密 0×05.数组返回NULL绕过 0×06.弱类型整数大小比较绕过 0×07.sha()函数比较绕过 ...
消息队列之消息过滤
07-18 763
众所周知,RocketMQ是支持消息过滤的,即发送消息时,可以给消息设置一个TAG。订阅主题的时候,可以设置只消费携带某些TAG的消息,起到消息过滤的作用。 RocketMQ中是把消息TAG通过哈希转换成了的long型,保存在了消息索引中。在订阅客户端拉取消息时,为了减少协议大小,减低报文长度,拉取协议中也只携带指定的若干TAG的哈希值,服务端接收到拉取请求时,在查找索引时,就直接过滤了不符合条件的索引。这里就会有一个问题,如果出现哈希冲突了,就会有错误的消息被客户端消费到。RocketMQ为了提高性能,
解决Sql注入的类(C#版,Java版可效仿)
joerong666
07-24 160
全站SQL注入类的修改版本 关键词: asp.net    C#    SQL注入类                                             相信Sql注入时下已不再是什么新名词了,今天也正好撞上这样的bug,网上这方面的理论很多,但真正有提供一个明确完整的解决方案的,实在是少得可怜(不知是不是我的手气太差了 ^^).废话就不多说了,下面本人就此次整理出来的Sq...
如何绝对注入
m0_50453514的博客
04-15 3727
前不久的时候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同时也在思考一个问题,平时审计或者黑盒的时候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百注入呢,也许从这个角度学习会让我进步更快。
ASP.NET注入代码【转】
weixin_30355437的博客
07-23 74
一种: /// <summary> /// 在 Application_BeginRequest中加入函数StartProcessRequest() /// </summary> protected void Application_BeginRequest(Object sende...
PHP实现过滤留言信息中的敏感词
实践求真知
04-12 1496
一 代码 检测留言信息的敏感词         姓  名: <span style="COLOR: #ff
mybatis注入
最新发布
09-27
在使用MyBatis进行SQL查询时,为了SQL注入攻击,我们应该使用#{xxx}来代替查询中的参数。这样MyBatis会使用PreparedStatement类进行预编译,将参数以安全的方式传递给数据库,并避免了SQL注入的风险。 预编译的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值