php mysql 安全 防止SQL注入

最新推荐文章于 2021-01-28 12:06:50 发布
最新推荐文章于 2021-01-28 12:06:50 发布
阅读量681 收藏
点赞数
分类专栏: app后端 文章标签: mysql sql注入 安全 php

预防措施

也许有人会自我安慰,说攻击者要知道数据库结构的信息才能实施上面的攻击。没错,确实如此。但没人能保证攻击者一定得不到这些信息,一但他们得到了,数据库有泄露的危险。如果你在用开放源代码的软件包来访问数据库,比如论坛程序,攻击者就很容得到到相关的代码。如果这些代码设计不良的话,风险就更大了。

这些攻击总是建立在发掘安全意识不强的代码上的。所以,永远不要信任外界输入的数据,特别是来自于客户端的,包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样,就算是正常的查询也有可能造成灾难。

  • 永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。
  • 检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数,从简单的变量函数字符类型函数(比如 is_numeric()ctype_digit())到复杂的 Perl 兼容正则表达式函数都可以完成这个工作。

  • 如果程序等待输入一个数字,可以考虑使用 is_numeric() 来检查,或者直接使用 settype() 来转换它的类型,也可以用 sprintf() 把它格式化为数字。

    Example #5 一个实现分页更安全的方法

    <?php

    settype    ($offset'integer');
    $query "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";

    // 请注意格式字符串中的 %d,如果用 %s 就毫无意义了
    $query sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",
                         $offset);

    ?>

  • 使用数据库特定的敏感字符转义函数(比如 mysql_escape_string() 和 sql_escape_string())把用户提交上来的非数字数据进行转义。如果数据库没有专门的敏感字符转义功能的话 addslashes() 和 str_replace() 可以代替完成这个工作。看看第一个例子,此例显示仅在查询的静态部分加上引号是不够的,查询很容易被攻破。
  • 要不择手段避免显示出任何有关数据库的信心,尤其是数据库结构。参见错误报告错误处理函数
  • 也可以选择使用数据库的存储过程和预定义指针等特性来抽象数库访问,使用户不能直接访问数据表和视图。但这个办法又有别的影响。

除此之外,在允许的情况下,使用代码或数据库系统保存查询日志也是一个好办法。显然,日志并不能防止任何攻击,但利用它可以跟踪到哪个程序曾经被尝试攻击过。日志本身没用,要查阅其中包含的信息才行。毕竟,更多的信息总比没有要好。

转自:http://php.net/manual/zh/security.database.sql-injection.php


SuJFighting
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpmysql数据库的sql注入与全面防范
07-27
SQL Injection问题在ASP上闹得沸沸扬扬,php也不免于难。为此我们也会采取一些防范。通过具体实例来描述在php中的mysqlsql注入问题以及怎样去防范。
PHP+mysql防止SQL注入的方法小结
10-17
PHPMySQL的开发中,SQL注入是一种常见的安全威胁。攻击者通过在输入字段中插入恶意的SQL代码,试图...以上这些方法和措施有助于在使用PHPMySQL进行程序设计时,有效地防止SQL注入,保障应用程序的安全稳定运行。
PHP+MYSQL防范SQL注入
01-11 1105
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
php防注入(一)
qxs101307204的专栏
10-20 326
Php防注入式(一)    1.函数:  Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的
php mysql防止sql注入详细说明
yangbbenyang的专栏
08-07 339
要防sql注入我必须从sql语句到php get post 等数据接受处理上来做文章了,下面我们主要讲phpmysql的sql语句上处理方法 ,可能忽略的问题。 看这个例子:    // supposed input   $name = “ilia’; delete from users;”;   mysql_query(“select * from users where
PHP+Mysql防止SQL注入的方法:
guok的博客
04-19 852
方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_real_es...
php防止sql注入的方法详解
10-20
SQL注入是一种常见的网络安全威胁,尤其针对使用PHP等服务器端脚本语言构建的Web应用程序。攻击者通过在输入字段中插入恶意的SQL代码,试图欺骗服务器执行非预期的数据库操作,从而获取敏感信息或控制数据库。PHP...
php防止sql注入简单分析
10-24
通过使用stripslashes和mysql_real_escape_string函数等技术手段,结合安全的编码习惯和最新的数据库访问技术,开发者可以大幅减少SQL注入漏洞的风险,从而提高PHP应用的安全性。希望本文所分享的知识和技巧对大家的...
php防止SQL注入的最佳解决方法
10-27
PHP开发中,SQL注入是一种常见的安全漏洞,攻击者可以利用这个漏洞篡改数据库查询,从而获取敏感数据、修改数据库内容甚至控制服务器。SQL注入通常发生在用户输入被直接拼接到SQL查询语句中的时候,如果用户输入...
PHP+MysqlSQL注入源码 下载
01-01
这个"PHP+MysqlSQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入PHPMySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...
php+mysql网站预防SQL注入的一点小方法
chenbalala的博客
08-25 1581
1.最基本的就是要关闭网站的错误提示,php配置文件中设置display_errors = Off,一些集成环境的默认错误提示是On 2.一些查询,更新,插入时,最好先判断数据类型和数据格式,比如需要插入邮箱就只能是邮箱格式,不紧在前台要验证,在后台,以及操作数据库时更要验证 3.sql语句最好不要用拼接的方式来组合,最好不要自己写sql语句。 4.过滤特殊字符,常用的php函数有addsl
MySQLSQL注入
php菜鸟见闻录
11-15 797
1,mysql_real_escape_string()函数已经不安全,可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击 2,使用拥有Prepared Statement机制的PDO和MYSQLi来代替mysql_query(注:mysql_query自 PHP 5.5.0 起已废弃,并在将来会被移除) 【注:PreparedStatement使用预编译机制,在创建PreparedSt...
mysql数据库的安全级别划分_如何确保MySQL数据库的安全性?
weixin_30125993的博客
01-18 290
I'm going to be implementing a PHP/mySQL setup to store credit card information.It seems like AES_ENCRYPT/AES_DECRYPT is the way to go,but I'm still confused on one point:How do I keep the encryption ...
php mysql 安全防范_高手整理的PHP MySQL安全方案
weixin_28684497的博客
01-28 178
在网站上,我们要想象每个访问者都是恶心的,这样才能整出更安全的网站。下面是高手整理的php mysql安全方案,对于初学都特别有用。1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)将下面两个关闭ini_set("magic_quotes_runtime", 0);ini_set("magic_quotes_sybase", 0);全部自己...
学习数据库—— 如何提高MySql安全
weixin_33712987的博客
10-29 155
1.如果MYSQL客户端和服务器端的连接需要跨越并通过不可信任的网络,那么需要使用ssh隧道来加密该连接的通信。 2.使用set password语句来修改用户的密码,先“mysql -u root”登陆数据库系统,然后“mysql> update mysql.user set password=password(’newpwd’)”,最后执行“flush privi...
mybatis 防止sql注入的原理
蓝一个天的专栏
03-24 4368
mybatis sql java db
PHP中该怎样防止SQL注入
whucaodi的专栏
12-16 421
问题描述如果用户输入的数据在未经处理的情况下插入到一个SQL查询语句中,那么应用将很有可能遭受到SQL注入的攻击,正如下面的例子:$unsafe_valiable = $_POST['user_input']; mysql_query("INSERT INTO 'table'('column') VALUES ({unsafe_valiable})");因为用户的输入可能是这样的value')';D
Mysql数据库的安全配置、实用技巧
weixin_34087307的博客
11-16 148
1、前言 MySQL 是完全网络化的跨平台关系型数据库系统,同时是具有客户机/服务器体系结构的分布式数据库管理系统。它具有功能强、使用简便、管理方便、运行速度快、安全可靠性强等优点,用户可利用许多语言编写访问MySQL 数据库的程序,特别是与PHP更是黄金组合,运用十分广泛。 由于MySQL是多平台的数据库,它的默认配置要考虑各种情况下都能适用,所以在我们自己的使用环境下...
mysql如何防止sql注入
最新发布
08-22
MySQL可以通过以下几种方法来防止SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值