php防止sql注入

最新推荐文章于 2021-02-04 09:27:27 发布
最新推荐文章于 2021-02-04 09:27:27 发布
阅读量1.1k 收藏
点赞数
分类专栏: web后台技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L_yangliu/article/details/53019902
版权

   所谓sql注入,是由表单提交时,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好防注入操作。关于这个问题,成熟的方案有很多,现在总结如下:

一,从根源上解决问题,也就是在接受表单提交时,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。

二,使用转义,经常用到的函数有:mysql_real_escape_stringphp5已经不用了)和

Addslasher,转义之后,会消除上传参数中一些恶意的特殊符号,如单双引号等等。PHP,有一个魔术引号的概念,如何打开?:PHP.ini,magic_quotes_gpc=On;重启apache即可,没用过,有待验证。关于mysql_real_escape_string有这样的warning:Warning:
As of PHP 5.5.0 mysql_real_escape_string and the mysql extension are deprecated. Please use mysqli extension and mysqli::escape_string function instead 。

所以这里说一下mysqlmysqlipdo的东西:

PHP-MySQL PHP操作 MySQL资料库最原始的 ExtensionPHP-MySQLii 代表 Improvement,提更了相对进阶的功能,就 Extension而言,本身也增加了安全性。而 PDO (PHP Data Object)则是提供了一个 Abstraction Layer来操作资料库。

使用mysqli或者使用pdo

 

三,限制引入的参数,就是把接收上来的数据和已知数据进行对比,看是否是合法的。

四,对引入参数进行编码

五,使用MySQL存储过程,没怎么用过,正在研究中.

php语句前加@来抑制错误信息。

杨柳
关注
专栏目录
浅谈SQL注入防御手段
0verWatch的博客
08-02 4849
sql语句预编译 例如: String sql = "select id, no from user where id=?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id); ps.executeQuery(); 这里采用了PreparedStatement,就会...
防止sql注入
jingYang07的博客
04-23 872
import org.owasp.esapi.ESAPI; import org.owasp.esapi.Encoder; import org.owasp.esapi.codecs.Codec; import org.owasp.esapi.codecs.MySQLCodec; import org.owasp.esapi.errors.EncodingException; import or...
sql注入几种惯用策略
L_yangliu的专栏
07-27 1339
所谓sql注入,是由表单提交时,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好防注入操作。关于这个问题,成熟的方案有很多,现在总结如下: 一,从根源上解决问题,也就是在接受表单提交时,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。 二,使用转义,经常用到的函数有:mysql_real_escape_string(php5已
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6606
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
两个防SQL注入过滤代码
巅峰测试
08-03 1001
 ASP通用防注入代码 您可以把该代码COPY到头文件中.也可以单独作为一个文件存在,每次调用使用 作者:y3gu - 2005-7-29 http://www.dosu.cn
如何防止SQL注入 http://zhangzhaoaaa.iteye.com/blog/1975932
weixin_34128839的博客
05-29 134
如何防止SQL注入 博客分类: 技术转载数据库 转自:http://021.net/vpsfaq/152.html -----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement.. ------解决...
PHP SQL注入
qpmglj的专栏
04-23 672
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
discuz的php防止sql注入函数
10-28
标题《discuz的php防止sql注入函数》中涉及的PHP安全编程知识点包括了PHP安全编码实践以及如何在Web开发过程中防御SQL注入攻击。SQL注入是数据库安全领域中的一种常见攻击手段,攻击者通过构造恶意的SQL代码片段,...
php防止SQL注入详解及防范
12-19
PHP是Web开发中常用的脚本语言,因此理解如何在PHP防止SQL注入至关重要。 在PHP中,防止SQL注入的两个关键步骤是: 1. **数据过滤**:对用户输入进行验证和清理,确保输入的数据符合预期的格式。例如,如果你...
安全网站策略之_SQL注入的防范
04-05
NULL 博文链接:https://lvhuiqing.iteye.com/blog/1537285
php防止sql注入代码实例
10-26
### PHP防止SQL注入的方法与实践 #### 一、引言 在Web开发中,SQL注入是一种常见的安全攻击手段,攻击者通过将恶意SQL代码插入到应用程序的查询语句中,以此来操纵数据库执行非预期的操作。为了提高Web应用的安全...
防止SQL注入的五种方法
chenyuanyuan1992的博客
05-29 358
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台...
网站注入SQL攻击防护办法
网站安全专家
02-04 500
能否理解并利用SQL首注是区分一般攻击者和专业攻击者的一个标准。面对严密禁用详细错误消息的防御,大多数新手会转向下一目标。但攻破SQL盲注漏洞并非绝无可能,我们可借助很多技术。它们允许攻击者利用时间、响应和非主流通道(比如DNS)来提取数据。以SQL查询方式提问一个返回TRUE或FALSE的简单问题并重复进行上千次,数据库王国的大门便通常不容易发现SQL盲注漏洞的原因是它们隐藏在暗处。一旦发现漏洞后,我们就会有们能支持多种多样的数据库。大量的漏洞可用。要明确什么时候应选择基于响应而非时间的利用和什么时候使用
注入
yanick技术博客
09-01 709
string sql = "insert into 表名 values(@字段)";SqlParameter s = new SqlParameter("@字段", FileByteArray);SqlCommand cmd = new SqlCommand(sql, conn);//conn为SqlConnection实例对象cmd.Parameters.Add(s);conn.Open();c
sql注入
jakeswang的博客
05-31 585
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名 例子:(传入值为id) order by ${param} 则解析成的sql为: order by id #{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 例子:(传入值为id) select * from table where name = #{param}
SQL 注入防御方法总结
BlankTe的博客
09-25 435
SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injectionSQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。 演示下经典的SQL注入 我们看到:select id,no from us
【防注入】实践有效的网站防SQL注入(一)
MSDA的专栏
03-29 1487
几年前,网站中大多数都存在sql注入sql注入在这几年可以说已经被广大网站管理者所认知,并在搭建网站的时候都能注意到网站防注入这一问题,但为什么我们EeSafe现在收录的网站中,还是有很大一部分存在sql注入问题?我想并不是由于网站站长不知道sql注入的危害(危害我这里就不说了,大家可以去百度等搜索引擎上查找),而是由于网站对于像sql注入这样的问题的防范和发掘不够深造成的,这里我把防范sql
简单防sql注入
不懂love的博客
10-25 464
一、防止文本框注入js代码: //防止SQL注入 function AntiSqlValid(oField) { re = /select|update|delete|exec|count|'|"|=|;|>| if (re.test(oField.value)) { alert("请您不要在参数
php 防止sql注入
最新发布
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以防止恶意用户通过输入特殊字符来改变 SQL 查询的结构。使用 PDO 或者 MySQLi 扩展库提供的预处理语句功能可以有效防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam(':username', $username); $stmt->execute(); ``` 2. 使用参数化查询:参数化查询是指在 SQL 查询中使用参数的方式,而不是直接将用户输入拼接到查询语句中。这样可以确保用户输入被正确地转义和处理,从而防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); ``` 3. 输入验证和过滤:对用户输入进行验证和过滤,以确保输入符合预期的格式和类型。可以使用过滤器函数(如 filter_var)或自定义验证函数来验证输入数据的合法性。同时,对于需要存储到数据库的数据,应该使用适当的转义函数(如 mysqli_real_escape_string)对特殊字符进行转义。 示例代码: ```php $username = filter_var($_POST['username'], FILTER_SANITIZE_STRING); $password = mysqli_real_escape_string($conn, $_POST['password']); ``` 4. 使用安全的数据库连接:确保使用安全的数据库连接方式,如使用 PDO 或者 MySQLi 扩展库,并配置正确的连接参数。避免使用不安全的连接方式,如使用不可靠的连接库或者直接拼接用户输入的字符串作为连接参数。 需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安全性措施,并定期更新和维护应用程序以防止新的安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值