SQL注入防御之二——注入关键词过滤(PHP)

最新推荐文章于 2024-04-25 16:26:22 发布
最新推荐文章于 2024-04-25 16:26:22 发布
阅读量1.1w 收藏 3
点赞数 4
分类专栏: PHP 文章标签: sql注入 php web表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tim_phper/article/details/52288940
版权

SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

概述

  欢迎来到本人的SQL注入防御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来防止SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到防止SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能完全防止注入。相信来到这里,聪明的你一定有下面的疑问,那么有没有一种方法来阻止接受参数的输入呢?只要阻止恶意SQL语句的输入不就达到防止SQL注入的目的吗?没错,这一篇文章正是介绍如何通过过滤关键的SQL语句的关键词来达到阻止SQL注入的目的。

准备

  既然要实现黑名单策略,我们第一步当然先来分析一下到底过滤哪些关键词。SQL语句对于数据库的操作离不开“增删改查”和“文件处理”,那么它们分别有哪些关键词呢?

  • 基本关键词: and、or、order
  • 增的关键词: insert、into
  • 删的关键词: delete
  • 改的关键词: replace、update
  • 查的关键词: union、select、
  • 文件处理的关键词: load_file、outfile
最低0.47元/天 解锁文章
Tim_PHPer
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入防御之一——伪静态(PHP
心有猛虎,细嗅蔷薇!
08-22 2844
伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。。 概述 众所周知,web安全防御一直
防止SQL注入的四种方案
dehuisun的专栏
09-05 9327
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
如何避免SQL注入
木易三水良
01-27 1088
SQL注入原理不做解释了,大家都知道 危害嘛: -- 本来我只想获取id=2的数据 SELECT id,NAME FROM area WHERE id = -- 正常的参数 2 -- 后面是sql注入追加的参数 or 1 = 1 UNION SELECT -- 前面有几列数据,你后面联表查询也必须有相同数量列的数据才可以执行成功 1,-- 数据库版本 version() UNION SELECT 1,-- 数据库 DATABASE () UNION SELECT 1, --
常见 SQL 注入绕过方法
最新发布
Flag少侠的博客
04-25 1345
Web应用通常会使用输入过滤器,设计这些过滤器的目的是防御包括SOL 注入在内的常见攻击。这些过滤器可能位于应用的代码中(自定义输入验证方式),也可能在应用外部实现,形式为 Web应用防火墙(WAF)或入侵防御系统(IPS)
php正则过滤sql关键字,使用正则表达式屏蔽关键字的方法
weixin_32058931的博客
03-21 421
【问题】关键字屏蔽是社交类软件必做的功能,当然了,一般来讲都是产品的中后期来做;不同产品规定不一样,跟着产品运营走,可以的【方法】我们从技术的角度来看到这个问题,实现一个功能后者说实现一个需求,其方法是多种多样的,重点是找到适合我们当下产品的;比如:我们可以在后端进行数据处理之后,传递到前端;也可以在前端进行数据处理;这里我们要说的就是前端的JS处理方法,后端的php处理方法【JS方法】// 进行...
php mysql入库过滤,过滤SQL关键字,mysql入库字段过滤
weixin_39846361的博客
03-23 243
/***过滤SQL关键字,mysql入库字段过滤*@param$val要过滤的字符串*@returnmixed*/functionsql_replace($val){$val=str_replace(“\t”,'',$val);$val=str_replace(“%20”,'',$val);$val=str_replace(“%27”,...
php过滤sql关键字,PHP_详解WordPress开发中过滤属性以及Sql语句的函数使用,esc_attr()(过滤属性) 一般在 - phpStudy...
weixin_28860509的博客
03-11 403
详解WordPress开发中过滤属性以及Sql语句的函数使用esc_attr()(过滤属性)一般在写 Html 代码的标签属性的时候会是下边的格式:那如果 value 属性是动态输出的呢?但是,如果动态输出的属性里有双引号、尖括号等特殊字符,Html 代码就会被打乱,这时就可以使用 esc_attr() 函数对输出的属性进行转义。使用方法esc_attr( $text );参数$text (字符串...
php防止sql注入,字符串变量检查
black521devil的专栏
12-23 695
//判断字符串是否含有sql function inject_check($get_code){     return eregi('select|insert|update|dalete|\'|\/\*|\.\.\/|union|into|load_file|outfile',$sql_str); } //过滤字符串 function str_check($str){ if(!get
php防止sql注入过滤分页参数实例
10-25
因此,为了确保应用程序的安全性,开发者必须采取措施过滤和验证这些参数,防止SQL注入的发生。 在提供的实例中,可以看到如何使用CodeIgniter框架来实现分页功能,并同时处理分页参数的安全性。CodeIgniter的`$...
PHPSQL注入攻击[二]
10-30
总的来说,防止SQL注入需要结合多种策略,包括但不限于:使用预处理语句(如PHP的PDO或MySQLi的预处理功能)、对用户输入进行过滤和验证、以及使用适当的函数对特殊字符和二进制数据进行转义或编码。同时,保持代码...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
SQL注入简单总结——过滤逗号注入.pdf
04-08
SQL注入简单总结——过滤逗号注入
php_bugs_04_sql注入关键字过滤绕过——一次失败审计
admin_mds的博客
03-19 265
php_bugs 04
php实现关键词过滤
php-yyds
11-01 985
接下来,你需要实现一个函数,用于过滤文本中的敏感关键词。这个函数将接收一个需要过滤的字符串作为输入,并返回一个过滤后的字符串。首先,你需要构建一个包含敏感关键词的库。你可以将这些敏感关键词存储在一个数组中,或者将它们存储在数据库中。最后,你可以在需要过滤敏感关键词的地方调用关键词过滤函数。
sql php 过滤特殊字符,phpsql注入过滤特殊字符
weixin_31487521的博客
04-12 396
我在PHP4环境下写了一个防SQL注入的代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 防注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){$str = str_replace("and","",$str);$str = str_replace("execute","",$str);...
SQL注入--安全(二)
qq_43371350的博客
03-25 7605
写在前面:在前两天初学SQL注入的基础上,继续在Metasploitable-Linux环境下进行练习。 前面学习的SQL注入,那么当然就有防注入。由于web注入危害较大,各种防御技术也层出不穷。 1、程序猿在写代码时会有意识的进行防御设置,或者安全测试来封堵web注入 2、各大安全厂商生产的硬件或者软件WAF产品 黑名单过滤技术 1、过滤sql关键字段 常见的关键字:and、or、union a...
php sql语句过滤,php如何做sql过滤
weixin_33304613的博客
03-09 755
php如何做sql过滤SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。因此,在执行sql语句前,一定要对用户输入的数据进行过滤处理。防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。func...
php对字符串进行SQL注入过滤
qq_30908729的博客
11-25 1138
php对字符串进行SQL注入过滤   解决方法: 使用str_ireplace方法来实现:http://w​ww.yayihouse.com/yayishuwu/chapter/1711
sql注入攻击与防御第二版 pdf
07-04
SQL注入攻击是一种利用输入的SQL代码进行非法操作的攻击方式。攻击者可以通过在输入框中注入恶意的SQL代码,从而绕过应用程序的认证和授权机制,对数据库进行各种操作,例如删除、修改、插入数据,甚至获取数据库中的敏感信息。 《SQL注入攻击与防御第二版》是一本关于SQL注入攻击的防御和应对策略的书籍。该书介绍了SQL注入攻击的原理、常见的攻击方式、实际案例以及相应的防御措施。 在防御SQL注入攻击时,我们可以采取以下一些措施: 1. 使用参数化查询或预编译语句:这种方式可以防止攻击者通过输入恶意的SQL代码来注入攻击。参数化查询使用占位符来代替输入的变量,预编译语句将SQL查询语句和变量分开进行处理,从而有效防止注入攻击。 2. 对输入进行过滤和验证:在接收用户输入时,可以对输入进行过滤和验证。例如,可以使用正则表达式或编码转换函数来过滤用户输入中的特殊字符,从而防止注入攻击。 3. 最小权限原则:数据库用户应该被赋予最小权限,在应用程序连接数据库时,使用具有最小权限的数据库用户,限制了攻击者对数据库的操作。 4. 定期更新和升级软件:应该及时更新数据库和应用程序的补丁,以修复已知的漏洞,提高系统的安全性。 5. 日志监控和异常检测:及时监控数据库操作日志,发现异常操作并进行相应的处理。可以通过设置数据库的审计功能、使用入侵检测系统等方式进行日志监控和异常检测。 通过了解并遵循上述防御措施,可以增强系统的安全性,有效地防范SQL注入攻击。《SQL注入攻击与防御第二版》这本书将为读者提供更深入的理解和应对策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值