php项目防止sql注入的方法

最新推荐文章于 2018-12-03 09:48:05 发布
最新推荐文章于 2018-12-03 09:48:05 发布
阅读量302 收藏
点赞数
分类专栏: # php基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dancheng1/article/details/75213037
版权

  Sql注入:通过在表单中添加特殊的字符或url中增加特殊的字符,然后向数据库发起请求,拼凑出sql语句,达到攻击的目的

有两种:

1、Post

2、Get

 

Post的万能密码:xxxor 1

如何防范万能密码:

最简单的方式,就是密码加密:md5, sha1


万能用户名:xxxx' OR 1#

如何防范万能用户名:

让单引号失去本身的含义,利用addslashes函数进行转义,以下为转义的函数:

function deepslashes($data){
	//判断$data的表现形式,并且需要处理空的情况
	if(empty($data)){
		return $data;
	}
	//中高级程序员写法
	return is_array($data) ? array_map('deepslashes', $data) : addslashes($data);
}



在接受get传参的时候,也需要处理一下,通常就是传递id的时候。

处理方法很简单,只需要将参数 转成 整型即可。

如 1 or 1 -----> 1

有哪些方式:

1、强制转换,使用函数intval 或者 数据类型的 关键字 int

2、隐式转换,通过运算, 只需要 +0 即可

dancheng_work
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止sql 注入方法
yezongzhen的博客
05-08 206
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录...
php防止sql注入方法详解
10-20
PHP防止SQL注入方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1295
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php表单提交数据的验证处理(防SQL注入和XSS攻击等)
wml
05-27 7390
代码实例:<?php $user_name = strim($_REQUEST['user_name']);function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 //预定义的字符是: // & (和号)成为 & //
设置PHP程序访问限制,彻底杜绝PHP******
weixin_34319111的博客
02-28 516
PHPCMS平台的注入漏洞太多,防不胜防,为此我想了个设置PHP程序访问限制的方法。只允许访问以下四个PHP程序:/index.php/admin.php/api.php/phpsso_server/index.php其它一律禁止访问。 以下是apache中虚拟主机增加的重写定义: RewriteEngine On RewriteCond %{REQUEST_...
php防止sql注入
weixin_30262255的博客
04-28 451
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我...
’or 1=1# 初入SQL注入的万能语句
热门推荐
weixin_41607190的博客
09-23 3万+
噢,终于知道CTF里面的那些SQL注入题里面,每题基本都有 id=1’ 这个东西,然后就是一串语句后面加个 # 。 现在终于理解了。至于这个东西为什么叫万能语句,继续看吧。 在介绍之前,先介绍一下我们一般的登陆过程: 输入用户名:“username” 输入密码:“password” 但我们输入完了以后是怎么登陆进去的呢?每个程序都会有一些验证机制。说一种简单的,比如下面这种代码: sql=&amp;amp;am...
php防止SQL注入的最佳解决方法
10-27
本篇文章介绍了,php防止SQL注入的最佳解决方法。需要的朋友参考下
PHP防止SQL注入方法详解
01-20
 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST[‘user_input’]; mysql_query(“INSERT ...
PHP项目常见的安全问题
倾城一笑stu
08-26 4177
常见安全问题:恶意攻击,暴力破解;Sql注入;Xss攻击。 (1)恶意攻击,暴力破解 Get方式恶意攻击,(dos),通常硬件的方式来防止,防火墙。 Post方式暴力破解,从程序的角度来防止,最通用的方法就是增加验证码。 (2)Sql注入 黑客通过在表单中填入特殊的字符 或者 是 url中增加特殊的字符,然后想数据库发起请求,拼凑出sql语句,达到攻击的目的。 有两种
PHP实现防止SQL注入的2种方法
hugejihu9的专栏
12-03 552
文章来自:源码在线https://www.shengli.me/php/347.html    
PHP最全防止sql注入方法
zhao_teng的博客
09-20 1万+
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下:   $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...
php递归实现树状分类结构
dancheng1的博客
07-15 2900
如果设计一个递归的树状结构只需简单的分类数据库结构就可以了 实际树状结构在Model层和view层实现相应的业务逻辑就可以了 Model层代码(tree函数主要实现了递归思想): <?php class CategoryModel extends Model{ //查询所有分类的信息 public function getCats(){ $sql = "select
php实现分页显示功能
dancheng1的博客
07-17 2564
Sql公式: select * from cz_goods_type order by type_id limit 1,2; Offset:偏移量 Pagesize:每页显示的条数 其中offset是在变化的,和当前所在页数(current)、每页显示条数有关(pagesize) Offset=(current-1) * pagesize 最终公式:select * from cz_go
php curl模块不能开启问题解决方式
dancheng1的博客
07-19 1900
用的PHP 5.6.12  curl模块无法使用 环境不是用的wamp,是自己配的. 百度到的所有方法全部试过,配置php.ini ,把curl_dll前的分号去掉. 在php.ini中,查找extension=php_curl.dll ,找到后把它前面的分号去掉. 如图: 然后再查找extension_dir=.配置它的路径指向php_curl.dll 模块对应的文件夹.
php中获取当前文件的路径
dancheng1的博客
05-11 1665
使用$url = dirname(__FILE__);函数,其中$url就是当前父路径。
不用ajax的局部页面跳转实现方法(iframe)
dancheng1的博客
07-18 1371
Iframe实现局部刷新的原理 可以在页面中使用iframe来嵌套其他页面 在iframe中,可以使用js来操作父页面 实现后的效果图: 当焦点从用户名后的文本框中移开时出现的效果 父页面的代码: Title 用户名: 密 码:  
php实现修改分类级别时防止将原分类加在自己子分类下
dancheng1的博客
07-16 1161
树状分类结构在修改分类时如果将本身链接在自己子分类下,就会将以这个分类为主的所有子分类丢失。 解决出现这种状况的方式为: 1、将本分类下的所有子分类和本身做成一个集合 2、在修改提交时,对修改后的上级分类与1中的集合对比,如何1中集合存在这个修改后的上级分类。便返回错误信息。反之,成功修改 Model中获得子分类id的代码: //定义一个方法,获取指定节点的id pub
php中$_GET变量
dancheng1的博客
04-09 1035
//表单以get方式提交 形式一: 项目1: 项目2: 作用:将数据发送给abc.php,理解为打开这个网页 形式二: !!!请求abc.php网页 形式三: localost.href="abc.php?uName=test1&uPswd=123"; 形式四: localost.assign("abc.php?
php 防止sql注入
最新发布
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践...需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安全性措施,并定期更新和维护应用程序以防止新的安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值