防止SQL 注入;如何进行防SQL 注入。

最新推荐文章于 2022-07-19 16:51:51 发布
最新推荐文章于 2022-07-19 16:51:51 发布
阅读量278 收藏
点赞数
文章标签: 数据库 php
原文链接:http://www.cnblogs.com/hejianrong/p/6385563.html
版权

防止SQL 注入:
1、开启配置文件中的magic_quotes_gpc 和
magic_quotes_runtime 设置
2、执行sql 语句时使用addslashes 进行sql 语句转换
3、Sql 语句书写尽量不要省略小引号和单引号
4、过滤掉sql 语句中的一些关键字:update、insert、
delete、select、*
5、提高数据库表和字段的命名技巧,对一些重要的字段
根据程序的特点命名,取不易被猜到的。
6、Php 配置文件中设置register_globals 为off,关闭
全局变量注册
7、控制错误信息,不要再浏览器上输出错误信息,将错
误信息写到日志文件中。

如何进行防SQL 注入?
1、过滤掉一些常见的数据库操作关键字:
select,insert,update,delete,and,*等
或者通过系统函数:addslashes(需要被过滤的内容)来
进行过滤。
2、在PHP 配置文件中
Register_globals=off;设置为关闭状态//作用将注册
全局变量关闭。
比如:接收POST 表单的值使用$_POST['user'],如果将
register_globals=on;直接使用$user 可以接收表单的
值。
3、SQL 语句书写的时候尽量不要省略小引号(tab 键
上面那个)和单引号
4、提高数据库命名技巧,对于一些重要的字段根据
程序的特点命名,取不易被猜到的
5、对于常用的方法加以封装,避免直接暴漏SQL 语

6、开启PHP 安全模式
Safe_mode=on;
7、打开magic_quotes_gpc 来防止SQL 注入
Magic_quotes_gpc=off;默认是关闭的,它打开后将
自动把用户提交的sql 语句的查询进行转换,把'转为
\',这对防止sql 注入有重大作用。
因此开启:magic_quotes_gpc=on;
8、控制错误信息
关闭错误提示信息,将错误信息写到系统日志。
9、使用mysqli 或pdo 预处理。

转载于:https://www.cnblogs.com/hejianrong/p/6385563.html

diluo9689
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入攻击范解析
12-13
这些都是从网上收集过来的资料 做网络安全 必须掌握的知识
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
sql注入方法
qq_36801966的博客
09-04 387
一、什么是sql注入 sql注入是比较常见的网络攻击方式之一,它不是利用操作系统的bug进行攻击,而是通过编程代码的疏漏,通过编写特定的sql语句进行数据库的非法访问。 二、 sql注入流程 寻找sql注入位置 判断服务器类型和后台数据类型 针对不同的服务器和数据库特点进行sql注入 三、sql注入 1、过滤掉一些常见的数据库操作关
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 409
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
get_magic_quotes_gpc 用法
Alex_Best
06-29 1486
<br />在PHP中get_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。<br />那么就先说一下magic_quotes_gpc选项:<br />如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“/”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。如果输入的数据有单引号(’)、双引号(”)、反斜线(/)与
浅谈开启magic_quotes_gpc后的sql注入攻与
风的专栏
11-22 9585
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。        开启magic_quotes_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、P...
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
Python中防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python中防止sql注入的方法,需要的朋友可以参考下。
sql 语句的书写
04-01
@newbaseid int,@singalresult int output as begin declare @goalcount int declare @para_starttime datetime declare @para_endtime datetime
sql注入
弱水三千 只取一韶
03-08 1723
SQL注入入门详解 =============安全性篇目录==============   毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。 (对于sql注入的攻,我只用过简单拼接字符串的注入及参数化查询,可
防止sql注入,过滤敏感关
weixin_33695082的博客
07-29 829
//sql过滤关字 public static bool CheckKeyWord(string sWord) { //过滤关字 string StrKeyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_...
SQL注入漏洞产生的原因 ? 如何防止?
热门推荐
PHPer技术栈
06-13 2万+
SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。 防止SQL注入: 开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置 执行sql语句时使用addslashes进行sql语句转换 Sql语句书写尽量不要省略引号单引号 过滤掉sql语句中...
mysql中如何防止sql注入_如何进行SQL注入
weixin_42352981的博客
02-02 2527
1、过滤掉一些常见的数据库操作关字:select,insert,update,delete,and,*等或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。2、在PHP配置文件中Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。比如:接收POST表单的值使用$_POST['user'],如果将register_globals=on;直接使用$...
dynamic-datasource 多数据源配置
weixin_43924353的博客
07-19 6097
dynamic-datasource-spring-boot-starter是一个基于springboot的快速集成多数据源的启动器。其支持。
如何进行SQL注入
weixin_34379433的博客
03-04 70
1、过滤掉一些常见的数据库操作关字:select,insert,update,delete,and,*等 或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。 2、在PHP配置文件中 Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。 比如:接收POST表单的值使用$_POST['user'],如果将regis...
防止sql注入的方法
qq_36031634的博客
09-06 3064
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
java 防止sql注入
最新发布
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样可以有效地防止SQL注入攻击。 另一种方法是使用框架中的特定功能来防止SQL注入。比如在MyBatis中,可以使用#{}表达式来代替直接拼接参数值到SQL语句中。这种方式类似于PreparedStatement,能够对参数进行预编译处理,从而避免SQL注入攻击。 此外,还可以通过对请求参数进行敏感词汇过滤来防止SQL注入。在接收到用户输入的参数之后,可以对参数值进行过滤,排除其中的敏感词汇,从而减少SQL注入的风险。 总之,通过使用PreparedStatement、特定框架的注入功能以及对参数进行敏感词汇过滤,可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值