php应对sql注入数据库处理

最新推荐文章于 2024-07-19 08:58:48 发布
最新推荐文章于 2024-07-19 08:58:48 发布
阅读量760 收藏 9
点赞数 9
分类专栏: php mysql 文章标签: php sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aicsswo/article/details/136475969
版权
mysql 同时被 2 个专栏收录
5 篇文章 0 订阅
订阅专栏
php
4 篇文章 0 订阅
订阅专栏

目录

前言

简单处理

1. 使用预处理语句(Prepared Statements)

例子:

1.使用PDO(PHP Data Objects)

2.使用MySQLi:

2. 参数化查询

例子:

1.使用PDO进行参数化查询

2.使用MySQLi进行参数化查询

3. 过滤输入

例子:

1. 过滤和验证邮箱地址

2. 过滤整数

3. 过滤URL

4. 使用过滤器清洗数组

4. 转义特殊字符

例子:

前言

在PHP中防止SQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。

简单处理

1. 使用预处理语句(Prepared Statements)

预处理语句不仅可以提高性能,还可以避免SQL注入。在使用预处理语句时,SQL命令在发送到数据库之前就已经被编译了,这意味着后续只需传递参数,而不是重新编译整个SQL命令。这样可以有效防止SQL注入,因为用户的输入不会被当做SQL命令的一部分来解析。

例子:

1.使用PDO(PHP Data Objects)
<?php
$pdo = new PDO('mysql:host=example.com;dbname=database', 'user', 'password');

// 使用预处理语句
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');

// 绑定参数并执行
$stmt->execute(['email' => $email]);

// 获取结果
$user = $stmt->fetch();
?>
2.使用MySQLi:
<?php
$mysqli = new mysqli('example.com', 'user', 'password', 'database');

// 使用预处理语句
$stmt = $mysqli->prepare('SELECT * FROM users WHERE email = ?');

// 绑定参数并执行
$stmt->bind_param('s', $email);
$stmt->execute();

// 获取结果
$result = $stmt->get_result();
$user = $result->fetch_assoc();
?>

2. 参数化查询

参数化查询是预处理语句的一部分,它允许你将SQL语句从数据分开。你在SQL查询中使用占位符代替直接插入的数据,然后绑定具体的值到这些占位符。

例子:

1.使用PDO进行参数化查询

假设我们有一个名为users的数据库表,我们想要查询特定email的用户信息。

<?php
// 数据库连接信息
$host = 'localhost';
$dbname = 'test_db';
$user = 'root';
$pass = '';

try {
    // 创建PDO实例
    $pdo = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);
    
    // 设置错误模式为异常
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 准备SQL语句
    $sql = 'SELECT * FROM users WHERE email = :email';

    // 准备语句
    $stmt = $pdo->prepare($sql);

    // 绑定参数
    $email = 'user@example.com';
    $stmt->bindParam(':email', $email);

    // 执行查询
    $stmt->execute();

    // 获取查询结果
    while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
        // 处理每一行
        echo $row['name'] . "\n"; // 假设有一个'name'字段
    }
} catch (PDOException $e) {
    echo '数据库错误: ' . $e->getMessage();
}
?>
2.使用MySQLi进行参数化查询

同样的例子,如果你使用的是MySQLi扩展:

<?php
// 数据库连接信息
$host = 'localhost';
$user = 'root';
$pass = '';
$dbname = 'test_db';

// 创建连接
$mysqli = new mysqli($host, $user, $pass, $dbname);

// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 准备SQL语句
$sql = 'SELECT * FROM users WHERE email = ?';

// 准备语句
$stmt = $mysqli->prepare($sql);

// 绑定参数
$email = 'user@example.com';
$stmt->bind_param('s', $email);

// 执行查询
$stmt->execute();

// 绑定结果变量
$stmt->bind_result($id, $name, $userEmail); // 假设表中有id, name, email字段

// 获取值
while ($stmt->fetch()) {
    echo $name . "\n"; // 输出用户名称
}

// 关闭语句
$stmt->close();

// 关闭连接
$mysqli->close();
?>

通过使用占位符(在PDO中是:后跟参数名,在MySQLi中是?),我们将数据与SQL语句分离,这样用户的输入就不会被解析为SQL命令的一部分,从而避免了SQL注入的风险。

3. 过滤输入

在将用户输入用于数据库查询之前,先验证和清理输入是非常重要的。你可以使用PHP的过滤函数如filter_var()来清理输入数据。

<?php
$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);

if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
    // $email 是有效的邮箱地址
} else {
    // $email 不是有效的邮箱地址
}
?>

例子:

1. 过滤和验证邮箱地址

使用filter_var()函数和FILTER_VALIDATE_EMAIL过滤器来验证邮箱地址是否有效。

<?php
$email = $_POST['email']; // 假设从表单获取邮箱地址
$clean_email = filter_var($email, FILTER_SANITIZE_EMAIL); // 清理邮箱地址

if (filter_var($clean_email, FILTER_VALIDATE_EMAIL)) {
    echo "邮箱地址 '$clean_email' 是有效的。";
} else {
    echo "邮箱地址 '$clean_email' 是无效的。";
}
?>
2. 过滤整数

过滤并验证输入是否为整数。

<?php
$age = $_POST['age']; // 假设从表单获取年龄
$clean_age = filter_var($age, FILTER_SANITIZE_NUMBER_INT); // 清理年龄数据,移除所有非数字字符

if (filter_var($clean_age, FILTER_VALIDATE_INT) !== false) {
    echo "年龄 '$clean_age' 是有效的整数。";
} else {
    echo "年龄 '$clean_age' 是无效的。";
}
?>
3. 过滤URL

验证并清理URL,确保它是有效的。

<?php
$url = $_POST['website']; // 假设从表单获取网址
$clean_url = filter_var($url, FILTER_SANITIZE_URL); // 清理URL

if (filter_var($clean_url, FILTER_VALIDATE_URL)) {
    echo "URL '$clean_url' 是有效的。";
} else {
    echo "URL '$clean_url' 是无效的。";
}
?>
4. 使用过滤器清洗数组

当你有一个数组的数据需要过滤时,可以使用filter_input_array()filter_var_array()

<?php
$data = [
    'name' => $_POST['name'],
    'age' => $_POST['age'],
    'email' => $_POST['email']
];

$args = [
    'name' => FILTER_SANITIZE_STRING,
    'age' => [
        'filter' => FILTER_VALIDATE_INT,
        'options' => ['min_range' => 1, 'max_range' => 120]
    ],
    'email' => FILTER_VALIDATE_EMAIL
];

$clean_data = filter_var_array($data, $args);

echo "<pre>";
print_r($clean_data);
echo "</pre>";
?>

4. 转义特殊字符

如果你不使用预处理语句,确保手动转义输入数据中的特殊字符。在MySQL中,可以使用mysqli_real_escape_string()函数。

例子:

1.转义邮件中特殊字符
<?php
$email = mysqli_real_escape_string($connection, $_POST['email']);

$sql = "SELECT * FROM users WHERE email = '$email'";
?>

总结

。。。。。。

冻风
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入php代码
08-24
SQL注入php,通用防注入类
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个...$sql=”insert into test(type)values($s);”; //是 values($s) 不是values(‘$s’)mysql_query($sql);上面这个片段程序是判
php中防止SQL注入的最好方法是什么?
hil2000的专栏
10-04 9225
如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE“); DROP
php过滤提交数据,防止sql注入攻击
weixin_33901641的博客
04-24 218
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP如何防止SQL注入攻击?
最新发布
破损的天堂鸟博客
07-19 995
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地防止了SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
phpsql注入函数
wwppp987的博客
07-23 693
function inject_check($Sql_Str) {//自动过滤Sql的注入语句。 $check=preg_match('/select|insert|update|delete|\'|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i',$Sql_Str); if ($check) { echo '&l...
PHP防止SQL注入的方法
weixin_30289831的博客
09-23 91
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打...
PHP SQL 注入
百年孤独
07-01 1122
关于sql 注入 (php
lianxiangbus
07-31 130
昨天看了些有关sql注入的的知识,没想到sql学的好的话可以如此强大,\(^o^)/~,小哥的sql只是皮毛啊,那就只防不攻吧……这些知识全都是网络上搜刮得来的,前人总结非个人的,我把主要的都贴进来供以后学习 PHP注入的基本原理 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库...
PHP 安全:如何防止PHP中的SQL注入
新华编程特战队
04-23 2161
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
360提供的phpsql注入代码修改类
05-02
SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、删除数据库中的敏感信息,甚至完全控制整个系统。为了防止SQL注入,我们需要遵循以下原则: 1. 使用...
sql.rar_php sql_php 联合sql_数据库
09-24
为了防止SQL注入,应始终使用参数化查询或预处理语句,如`mysqli`的`prepare()`和`bind_param()`函数数据库查询是PHPSQL交互的核心部分。以下是一个简单的SELECT查询示例: ```php $stmt = $conn->prepare(...
php防止SQL注入详解及防范
12-19
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或转义用户输入,导致恶意构造的SQL语句被执行,从而可能泄露、修改或删除数据库中的敏感信息。PHP是Web开发中常用的脚本语言,因此理解如何在PHP中...
php168sql注入漏洞
08-15
然而,在某些版本中,PHP168存在着严重的SQL注入漏洞,攻击者可以利用此漏洞非法获取数据库中的敏感信息。 #### 漏洞复现步骤 为了更好地理解这个漏洞是如何被发现并利用的,我们首先按照给定的部分内容中的步骤来...
php sql注入
技术的搬运工
01-16 2318
在应用程序中,为了和用户交互,允许用户提交输入数据,假如应用程序并没有对用户输入数据进行处理,攻击者可以输入一些跟sql语句相关的字符串(一般带有特殊字符)从而让应用程序执行危险的 SQL 操作,导致泄漏机密数据(比如用户信息)或直接修改删除线上的数据。
PHP POST, GET 参数过滤,预防sql注入函数
ddbqxd5560的博客
06-21 587
1、 实际过滤函数 可适当修改其中的正则表示式 1 static public function filterWords(&$str) 2 { 3 $farr = array( 4 "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object...
PHP SQL处理
weixin_30537391的博客
07-17 186
php处理查询 $query='insert into p1(info) values(?)'; $query2='select info from p1 where id=?'; $country=2; // 创建预处理语句 $stmt=mysqli_stmt_init($link); if (mysqli_stmt_prepare($stmt,$query2...
PHP安全编程之SQL注入
Ghost木偶的博客
09-27 344
今天晚上来学习一下phpsql注入首先搭建测试环境, 一个新闻内容页从URL地址栏获取文章id 从数据库中读取 SELECT * FROM news WHERE id=$id可以看到,这里的$id从地址栏获取并带入到数据库中进行查询操作我们可以通过这里来实现我们的sql注入攻击首先判断注入 ’ 或者 and 1=2 如果页面显示出现问题,那么就是存在sql注入 存在sql注入之后 我们
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值