php中防止SQL注入的最佳解决方法

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量579 收藏
点赞数
分类专栏: mysql 文章标签: mysql
 
本篇文章介绍了,php中防止SQL注入的最佳解决方法。需要的朋友参考下

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:

复制代码代码如下:

$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成:
复制代码代码如下:

INSERT INTO table (column) VALUES('VALUE'); DROP TABLE table;'


我们应该怎么防止这种情况呢?下面我们来看看Theo的回答

 

使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器,并被解析!对于攻击者想要恶意注入sql是不可能的!

实现这一目标基本上有两种选择:

1.使用PDO(PHP Data Objects )

复制代码代码如下:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array(':name' => $name));

foreach ($stmt as $row) {
    // do something with $row
}



2.使用mysqli
复制代码代码如下:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

 

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}



PDO(PHP数据对象)

 

注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的!为了解决这个问题,你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下:

复制代码代码如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面例子中错误模式ERRMODE不是严格必须的,但是建议添加它。当运行出错产生致命错误时,这种方法脚本不会停止。并给开发人员捕捉任何错误的机会(当抛出PDOException异常时)。

 

setAttribute()那一行是强制性的,它告诉PDO禁用仿真预备义语句,使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL).

当然你可以在构造函数选项中设置字符集参数,特别注意'老'的PHP版本(5.3.6)会在DSN中忽略掉字符集参数。

Explanation(解释)

在你传递的sql预备义语句 被数据库服务器解析和编译会发生什么?通过指定的字符(在上面例子中像a?或者像:name)告诉数据库引擎你想要过滤什么.然后调用execute执行结合好的预备义语句和你指定的参数值.

这里最重要的是,该参数值是和预编译的语句结合的,而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此,通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时,你发送的任何参数,将只被视为字符串(虽然数据库引擎可能会做一些参数的优化,当然最终可能会为数字).在上面的例子中,如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。

使用准备好的语句的另一个好处是,如果你在同一会话中多次执行相同的语句,这将只被解析和编译一次,给你一些的速度增长。
哦,既然你问如何进行插入,这里是一个例子(使用PDO):

复制代码代码如下:

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute(array(':column' => $unsafeva lue));

StrGlee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php防止SQL注入方法
09-19
php防止SQL注入方法,安全,PHP代码编写是一方面,PHP的配置更是非常关键。
php防止SQL注入的最好方法是什么?
hil2000的专栏
10-04 9217
如果用户输入的是直接插入到一个SQL语句的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE“); DROP
转:PHP防止SQL注入方法
weixin_34258838的博客
10-08 765
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini的内容,让我们执行 php能够更安全。整个PHP的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
php查询数据库防注入,php防止SQL注入最佳解决方法
weixin_42350305的博客
03-09 221
如果用户输入的是直接插入到一个SQL语句的查询,应用程序会很容易受到SQL注入,例如下面的例子:复制代码 代码如下:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");这是因为用户可以输入类似VALUE"); DR...
php防止sql注入处理方法
lw545034502的博客
05-27 723
解决的办法是将php.ini的magic_quotes_gpc设置为Off 在php.ini的magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。 注:magic_quotes_gpc=On时会有问题:在Cookies里,如果有'这样的标点符号,会将这些符号全部转义为\'。 如果这个选项为o...
探讨php防止SQL注入最好的方法是什么
10-27
PHP编程防止SQL注入是一项至关重要的任务,因为这种攻击方式可以对数据库造成严重破坏。SQL注入允许攻击者通过输入恶意数据来篡改或删除数据库的信息。本文将详细介绍如何在PHP有效地防范SQL注入。 首先...
PHP防止SQL注入实现代码
10-28
PHP开发SQL注入是一种常见的...总之,防止SQL注入PHP开发的核心任务,需要结合多种方法和技术来确保数据安全。通过使用预处理语句、限制数据库权限、输入验证和妥善处理错误,可以有效地降低SQL注入的风险。
php防止sql注入方法
猿男孩的博客
06-20 733
SQL注入漏洞可以说是在企业运营会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1293
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php防止sql注入方法详解
10-20
本文主要介绍了php防止sql注入方法。具有很好的参考价值,下面跟着小编一起来看下吧
php防止sql注入
weixin_30262255的博客
04-28 450
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini的内容,让我们执行 php能够更安全。整个PHP的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我...
PHP常见的SQL防注入方法
最新发布
weixin_43741253的博客
09-22 2828
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强防止SQL注入的检查。
php如何防sql注入,php如何预防sql注入
weixin_39785081的博客
03-09 181
在查询数据库时需要防止sql注入实现的方法PHP自带了方法可以将sql语句转义,在数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。(推荐学习:PHP编程从入门到精通)string addslashes ( string $str )//该函数返回一个字符串范例...
phpsql注入,如何在PHP应用防止SQL注入
weixin_35705450的博客
03-10 1651
SQL注入是一个控制数据库查询的技术,往往会导致丧失机密性。在某些情况下,如果成功执行SELECT'phpeval(base64_decode("someBase64EncodedDataHere"));'INTOOUTFILE'/var/www/reverse_shell.php'将导致服务器被攻击者拿下,而代码注入(包括SQL,LDAP,操作系统命令,XPath注入技术)长年保持在OW...
php sql注入防御方法,SQL注入防御的方法有哪些
weixin_30491017的博客
03-19 649
SQL注入防御的方法有:1、PreparedStatement;2、使用正则表达式过滤传入的参数;3、字符串过滤。其,采用预编译语句集是简单又有效的方法,因为它内置了处理SQL注入的能力。SQL注入防御的方法下面针对JSP,说一下应对方法:(推荐学习:mysql教程)1、(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX...
PHP+Mysql防止SQL注入方法
weixin_43814458的博客
12-25 337
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下 我的官方群点击此处。 方法一: mysql_real_escape_string -- 转义 SQL 语句使用的字符串的特殊字符,并考虑到连接的当前字符集 ! $sql = "select count(*) as ctr from users where us...
php过滤参数特殊字符防注入,php过滤参数特殊字符防注入
weixin_39926613的博客
04-03 163
/*** 安全防范过滤php的$_GET 和$_POST参数*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$key]=filterHtml($value...
php 防止被get,PHP如何过滤GET或者POST的参数?如何样才能保证代码不被注入
weixin_39622138的博客
03-10 357
PHP怎么过滤GET或者POST的参数?怎么样才能保证代码不被注入?请问PHP怎么过滤GET或者POST的参数防止js注入,或者一些html注入?请请提供代码参考?谢谢!------解决方案--------------------直接查查魔术转换相关东西吧不用去看wordpress了,学这么个东西还要去看wordpress,搞死人啊------解决方案--------------------...
php 防止sql注入
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以防止恶意用户通过输入特殊字符来改变 SQL 查询的结构。使用 PDO 或者 MySQLi 扩展库提供的预处理语句功能可以有效防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam(':username', $username); $stmt->execute(); ``` 2. 使用参数化查询:参数化查询是指在 SQL 查询使用参数的方式,而不是直接将用户输入拼接到查询语句。这样可以确保用户输入被正确地转义和处理,从而防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); ``` 3. 输入验证和过滤:对用户输入进行验证和过滤,以确保输入符合预期的格式和类型。可以使用过滤器函数(如 filter_var)或自定义验证函数来验证输入数据的合法性。同时,对于需要存储到数据库的数据,应该使用适当的转义函数(如 mysqli_real_escape_string)对特殊字符进行转义。 示例代码: ```php $username = filter_var($_POST['username'], FILTER_SANITIZE_STRING); $password = mysqli_real_escape_string($conn, $_POST['password']); ``` 4. 使用安全的数据库连接:确保使用安全的数据库连接方式,如使用 PDO 或者 MySQLi 扩展库,并配置正确的连接参数。避免使用不安全的连接方式,如使用不可靠的连接库或者直接拼接用户输入的字符串作为连接参数。 需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安全性措施,并定期更新和维护应用程序以防止新的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值