【PHP】防 SQL 注入和开发安全

最新推荐文章于 2024-08-08 14:37:33 发布
最新推荐文章于 2024-08-08 14:37:33 发布
阅读量450 收藏 2
点赞数
分类专栏: 【PHP】 文章标签: sql php function string 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dymyw/article/details/7814407
版权

    程序员水平和经验参差不齐,一部分程序员在编写代码的时候没有对用户输入的数据合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想知道的数据,这就是所谓的 SQL Injection,即 SQL 注入。受影响的系统:对输入不进行检查和过滤的系统。

// 防SQL注入
function checkInput( $val ){
	// 去除斜杠
	if ( get_magic_quotes_gpc() ){
		$val = stripslashes( $val );
	}
	if ( function_exists( "mysql_real_escape_string" ) ){
		$val = mysql_real_escape_string( $val );
	}else {
		$val = addslashes( $val );
	}
	return $val;
}

其他安全设置
1、register_globals = Off
2、SQL 语句书写时尽量不要省略小引号和单引号
3、正确使用 $_POST、$_GET、$_SESSION 等接收参数,并加以过滤
4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名
5、对于常用方法加以封装,避免直接暴露 SQL 语句

dymyw
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpSQL注入的一个类
05-04
为了避免这种情况,我们可以使用SQL注入的类来清理和转义输入。 该类可能包含以下功能: 1. **预处理语句**:PHP的PDO(PHP Data Objects)扩展支持预处理语句,可以有效地SQL注入。预处理语句将查询结构与...
PHP简单预sql注入的方法
10-21
PHP是Web开发中广泛使用的脚本语言,因此了解如何SQL注入对于保护PHP应用程序至关重要。 PHPSQL注入的基本方法是通过对用户输入进行适当的过滤和转义。以下是几种常用的御策略: 1. 使用参数化查询...
php注入开发安全详细解析
10-27
PHP开发中,确保应用程序的安全性至关重要,尤其是SQL注入攻击。SQL注入是黑客利用不安全的用户输入构造恶意SQL语句,以获取敏感信息或操纵数据库的主要手段。以下是关于PHP注入开发安全的详细解析: 1. ...
PHP】MVC 思想之 CI 框架的学习总结(二)
dymyw 的专栏
08-18 2886
如何在 CI 中创建视图:\application\views\*.php     如何在控制器中调用视图,并传递参数: $v_array = array( 'v_name' => $name, 'v_count' => $count, 'v_arr' => $arr ); $this->load->view('视图文件名', $v_array);    视图如
PHP】MVC 思想之 CI 框架的学习总结(三)
dymyw 的专栏
08-18 1995
如何利用 CI 提供的类库实现便捷功能:     CI 类库:\system\libraries,载入库类:$this->load->library('类名', 参数数组);         实例一:CI 文件上传,\system\libraries\Upload.php             新建视图 \application\views\upfile.php CI 文件
PHP】MVC 思想之 CI 框架的学习总结(一)
dymyw 的专栏
08-17 1673
php 日常开发中,MVC 的开发思想可谓是大势所趋,很多公司都有这样的要求,利用框架开发应用程序可以节约开发时间,同时代码便于维护,非常值得大家去学习及应用。      首先向大家简单介绍下什么是 MVC,M(Model 数据模型)、V(View 用户界面)、C(Controller 控制器)。总结MVC的处理过程,首先控制器接收用户的请求,并决定应该调用哪个模型来进行处理,然后模型用业务
PHPphpcms_v9 的学习总结(一)
dymyw 的专栏
10-08 1314
PHPCMS 的目录结构:     api ----------------- 结构文件目录     caches ------------ 缓存文件目录         configs ------------ 系统配置文件目录         caches_* --------- 系统缓存目录     phpcms ----------- 框架主目录         languag
PHPphp.ini 大文件上传配置
dymyw 的专栏
07-06 1160
如何上传超过8M的大文件?     上传大文件主要涉及配置upload_max_filesize和post_max_size 两个选项。 upload_max_filesize = 8Mpost_max_size = 8M     一般设定 upload_max_filesize 和 post_max_size 值相等。另外如果启用了内存限制,那么该值应当小于 memory_lim
PHP】解决 php 截取字符串中文乱码问题
dymyw 的专栏
07-09 804
有时候我们需要截取一些中英文混杂的字符串,比如要显示新闻的标题,如果标题过长,我们就截取前面的15个字,后面用...显示     用 php 的 substr 来截取的话,有时候就会出现乱码现象,因为 substr 是截取英文字符串的,如果偏巧第 15 个字符为汉字的话,那末就相当于把一个汉字给切为2半了,那这时肯定会出现乱码     其实解决方法也很简单:     1> php.ini 中
PHP】图片验证码 - micool-safecode
dymyw 的专栏
07-18 704
验证码是网站开发经常要用到的东西,总结下使用 micool-safecode 的简单使用 VerifyPic.php <?php session_start(); define('IN_SYS', true); require_once 'ValidationCode.class.php'; $vsafecode = new validationSafeCode(); $sessionsav
PHPphp 分页类
dymyw 的专栏
07-09 674
<?php /* * 分页类 * * Author: DYmyw * Email: dymayongwei@163.com * Date: 2012/03/15 * Version: 1.0 */ class Page{ private $count; // 总条数 private $pagesize; // 每页显示条数 private $pagecount;
PHP】图片操作类 - 水印、缩略图
dymyw 的专栏
07-20 639
Image.class.php <?php /* * Image 图片操作类 * * Author: DYmyw * Email: dymayongwei@163.com * Date: 2012/07/15 * Version: 1.0 */ class Image{ public $srcimg; private $type; private $width; priv
PHP】Smarty 模板引擎的使用总结
dymyw 的专栏
07-17 603
Smarty 是一个使用 PHP 写出来的模板引擎,是目前业界最著名的 PHP 模板引擎之一。它分离了逻辑代码和外在的内容,提供了一种易于管理和使用的方法,用来将原本与 HTML 代码混杂在一起 PHP 代码逻辑分离。简单的讲,目的就是要使 PHP 程序员同前端人员分离,使程序员改变程序的逻辑内容不会影响到前端人员的页面设计,前端人员重新修改页面不会影响到程序的程序逻辑,这在多人合作的项目中显的尤
PHP】文件操作及遍历文件夹
dymyw 的专栏
08-17 509
开发中,我们经常会遇到操作文件的情况,php 也为我们提供了文件操作的一系列函数。         1、读取与写入文件 $num = file_get_contents("num.txt"); echo ++$num; file_put_contents("num.txt", $num);         2、遍历文件文件夹中所有的文件(自定义函数) <?php // 遍历目录下的所有文
PHPMySQL 数据库操作类
dymyw 的专栏
07-09 448
<?php /* * Mysql 数据库操作类 * * Author: DYmyw * Email: dymayongwei@163.com * Date: 2012/03/15 * Version: 1.0 */ class Mysql{ private $host; // 数据库主机名 private $user; // 数据库用户名 private $p
PHPphp 发送 Email
dymyw 的专栏
07-20 425
php 发送 Email 是一种对用户的时时提醒方式,在系统开发中也经常会用到。 Smtp.class.php <?php class Smtp{ /* Public Variables */ var $smtp_port; var $time_out; var $host_name; var $log_file; var $relay_host; var $debug; va
PHP】图片验证码
dymyw 的专栏
07-17 420
<?php /* * 图片验证码 * * Author: DYmyw * Email: dymayongwei@163.com * Date: 2012/03/15 * Version:1.0 */ session_start(); $pic = imagecreatetruecolor(50, 22); $gb = imagecolorallocate($pic, 0,
kubernetes集群部署sql server数据库服务
最新发布
jiang0615csdn的博客
08-08 470
kubernetes集群部署sql server数据库服务
Web安全基础:SQL注入护与PHP动态网页开发
"本资源是关于Web安全技术及应用的实...这个实训项目旨在让学习者深入理解Web开发的基本要素和安全实践,通过实际操作增强对SQL注入攻击的理解,并掌握御技巧,同时提升在HTML、CSS、JavaScript和PHP方面的编程能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值