PHP如何防止SQL注入式攻击

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: PHP 文章标签: php sql string 数据库 程序开发 function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctowoo/article/details/4643489
版权

      由于程序开发人员对程序中的一些数据类型没有经过检查、向 MYSQL 提交正确的数据类型以及特殊数据的转义,导致程序容易受SQL注入式攻击。就此,PHP对此已提供了安全的设置及内置函数来防止此问题的发生。以下就个人在开发应用中写点........

1、magic_quotes_runtime 设置
当它打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。如果设定了 magic_quotes_runtime为 on 那么提交的数值就会自动将 ' 变成 /' 。为了使自己的程序不管服务器是什么设置都能正常执行,在开始(或不需要自动转义的时候)用set_magic_quotes_runtime(0)关掉。当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时就要用 set_magic_quotes_runtime()与 get_magic_quotes_runtime()设置和检测php.ini文件中magic_quotes_runtime状态。

2、magic_quotes_gpc 设置
magic_quotes_gpc 设置是否自动为GPC(get,post,cookie)传来的数据中的' " / 加上反斜线。可以用 get_magic_quotes_gpc()检测系统设置。如果没有打开这项设置,可以使用addslashes()函数添加,它的功能就是给数据库查 询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(/)与 NUL(NULL 字符)。即 ' 变成 /', "变成 /"。

3、一些常用的内置函数(addslashes , stripslashes ,htmlspecialchars,trim......)

define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
function strAddslashes($string, $force = 0, $strip = FALSE) {
    if(!MAGIC_QUOTES_GPC || $force) {
        if(is_array($string)) {
            foreach($string as $key => $val) {
                $string[$key] = strAddslashes($val, $force);
            }
        } else {
            $string = addslashes($strip ? stripslashes($string) : $string);
            //stripslashes -- 去掉反斜线字符
        }
    }
    return $string;
}

ctowoo
关注
专栏目录
SQL注入攻击讲解及PHP防止SQL注入攻击的几种方法
wuxiaopengnihao1的博客
08-25 1360
本文章向大家介绍什么是SQL注入攻击,以及在php网站开发中,如何防止SQL注入攻击PHP防止SQL注入攻击有三种常用方法,第一种方法是使用PHP转义字符串mysql_real_escape_string()函数,第二种方法是使用mysqli的prepare语句,第三种方法是使用PDO。
PHP中全面阻止SQL注入攻击分析小结
10-28
4. 转义所有用户输入:在将用户输入用于SQL查询之前,使用PHP的转义函数,如mysql_real_escape_string()(尽管此函数与废弃的mysql扩展相关联,现在推荐使用mysqli或PDO),可以防止大部分SQL注入攻击。 5. 限制...
SQL注入php代码
08-24
SQL注入php,通用防注入类
PHP防止数据库字符串登录SQL注入攻击
weixin_34161064的博客
12-07 125
<?php header("Content-Type:text/html;charset=UTF-8"); // 数据库配置 include_once 'config.php'; // 获得传递参数 $user_name=isset($_request['user_name'])?$_request['user_name']:''; $user_p...
PHP中全面阻止SQL注入攻击之二
powerbuddhist的专栏
04-01 828
一、 注入攻击的类型  可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。  如果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示):
PHP+MYSQL防范SQL注入
01-11 1113
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
php sql注入 如何防止,PHP中如何防止SQL注入攻击
weixin_42300879的博客
03-10 101
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");因为用户可以输入:value'); DROP TABLE table;...
SQL 注入攻击的本质
09-11
SQL注入攻击是一种常见的网络安全威胁,它发生在Web应用程序中,尤其是那些处理用户输入数据的系统。这种攻击的根源在于程序员在编写代码时没有正确地过滤、验证或转义用户提供的输入,导致恶意用户可以插入...
PHP防止SQL注入实现代码
10-28
2. **注入攻击的类型**: - **选择性注入**:攻击者通过添加像“1=1”这样的条件来显示所有记录。 - **更新注入**:攻击者可以修改记录的特定字段,例如在UPDATE语句中添加额外的SET子句。 - **删除注入**:...
php中如何防止sql注入
weixin_43586849的博客
12-06 353
1.什么时候最易受到SQL注入攻击 当应用程序使用输入内容来构造动态SQL语句,以访问数据库时会发生SQL注入攻击 2.如何防止SQL注入 a.永远不要相信用户的输入,对用户输入进行校验,可以通过正则表达,或限制长度,对单引号和“_”进行转换 不建议使用: //$user = htmlspecialchars(addslashes($user)); //$pwd = htmlsp...
php防止sql注入攻击的方法
yyyfff43的专栏
07-07 598
function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 if($check){ echo "输入非法注入内容!";
PHP面试题11】PHP如何防止SQL注入
GitHub质检员
09-14 258
SQL注入攻击是一种常见的Web安全漏洞,可以采用多种方法来防止SQL注入攻击。使用PHP的预处理语句和绑定变量可以有效地避免这种攻击。预防SQL注入攻击的最佳实践包括验证用户输入数据、禁止拼接字符串、使用filter_input()函数等。
PHP 安全:如何防止PHP中的SQL注入
最新发布
新华编程特战队
04-23 2260
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
php网站防止sql注入攻击方法
qq_780662763的博客
03-05 459
网站安全防护—该如何防止SQL注入攻击? 移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑, 随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击, 网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员 数据被盗走,这无意是给网站带来了严重的影响与经济损失。 像之前的高考网站被黑,高考完的学生们去查高...
如何在 PHP 应用程序中预防SQL 注入
allway2的博客
07-22 460
因此,PHP会向数据库发送简单的查询字符串,即使您的代码看起来像是在创建准备好的语句和设置参数等等。功能,而如果您使用的是MVC框架,它会为您完成所有繁琐的工作,您甚至不必考虑防止SQL注入。在WordPress中您必须明确地准备语句,这有点烦人,但是,嘿,我们正在谈论的是WordPress。值得庆幸的是,它非常简单,有两种方法可以做到1)清理用户输入,2)使用准备好的语句。无论如何,我的观点是,现代网络开发人员不必考虑SQL注入,因此,他们甚至没有意识到这种可能性。...
php 如何防范sql注入攻击,php防范SQL注入攻击与XSS攻击的方法详解
weixin_34312149的博客
03-09 439
本节内容:php防范SQL注入攻击与XSS攻击1,SQL注入攻击XSS攻击任意执行代码文件包含以及CSRF.}例子:复制代码 代码示例:mysql_connect("localhost","root","123456")or die("数据库连接失败!");mysql_select_db("test1");$user=$_post['uid'];$pwd=$_POST['pass'];if(mys...
PHP中怎样避免SQL注入漏洞和XSS跨站脚本攻击漏洞
weixin_41380972的博客
12-29 2050
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。 防止SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
初探PHPSQL注入攻击的技术实现以及预防措施
NiceGY
01-12 7922
SQL攻击SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。 有部份人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击
php 代码安全防止sql注入和xss攻击
qq_30923243的博客
02-22 1782
htmlspecialchars 处理输出的变量,可防止xss攻击 htmlspecialchars() addslashes addslashes 向字符串中预定义字符添加反斜杠 处理拼接到SQL语句上的字符串,可防止存在特殊字符SQL语句报错。 防止sql注入。 (还有说mysql_real_escape_string 也可以的,还没试) other 还可以对用户输入的信息强制转换类型 ...
PHP安全编程:防止SQL注入与XSS攻击策略
"该PDF文件主要探讨了PHP编程中常见的安全漏洞,包括SQL注入、跨站脚本(分为反射和存储)以及跨站请求伪造和命令行注入。文件着重于如何识别这些漏洞并提供了相应的防御策略。" 在PHP编程中,安全问题是一个至...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值