php mysql 防注入

最新推荐文章于 2023-11-12 23:31:10 发布
最新推荐文章于 2023-11-12 23:31:10 发布
阅读量208 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanyijie1990/article/details/80321746
版权
使用 mysql_real_escape_string 防注入

注意事项:

1、It is impossible to safely escape a string without a DB connection. mysql_real_escape_string() and prepared statements need a connection to the database so that they can escape the string using the appropriate character set - otherwise SQL injection attacks are still possible using multi-byte characters. 

2、If you are only testing, then you may as well use mysql_escape_string(), it's not 100% guaranteed against SQL injection attacks, but it's impossible to build anything safer without a DB connection.

3、If you must change the character set of the connection, use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.


性能方面:

mysql_real_escape_string 依赖于链接,需要获取链接字符集,理论上只需要获取一次就够了,不需要服务器做额外的事情,因此和mysql_escape_string 相差无几,可以通过测试验证;(未验证,如有验证过的同学,可以回复下)

已验证:验证方法,建立mysql链接后,sleep几秒,断开网络,mysql_real_escape_string 依然可以执行,因此不依赖服务器做额外工作


set names 改变编码不可取,因为不会相应的改变mysql链接的编码,使得mysql_real_escape_string使用的字符集错误,造成潜在的安全漏洞


参考资料

https://stackoverflow.com/questions/1162491/alternative-to-mysql-real-escape-string-without-connecting-to-db

https://dev.mysql.com/doc/refman/5.5/en/mysql-real-escape-string.html

隐莽
关注
专栏目录
php mysql注入问题
11-27
注入大行其道的互联网,要保护好自己的网站不被别人恶意利用,是需要很多时间和精力,我把我自己最常用的php+mysql 注入手段写下来,希望会对大家有点用处。
PHP+mysql止SQL注入的方法小结
10-17
PHPMySQL的开发中,SQL注入是一种常见的安全威胁。攻击者通过在输入字段中插入恶意的SQL代码,试图破坏应用程序的数据库查询,从而达到盗取数据、篡改数据甚至控制数据库服务器的目的。为了解决这个问题,我们...
php操作mysql止sql注入
chuaiyuan6611的博客
06-02 372
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
php操作mysql止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
php mysql 注入_php,mysql
weixin_35715190的博客
02-19 70
引发 SQL 注入攻击的主要原因,是因为以下两点原因:1。 php 配置文件 php。ini 中的 magic_quotes_gpc选项没有打开,被置为 off2。 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点...
php止SQL注入的方法[转载]
zhonglijunyi的专栏
01-21 506
php止SQL注入的方法 原文地址:http://daybook.diandian.com/post/2011-09-16/5079753 【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置ph
php注入
weixin_30402343的博客
06-14 196
引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2. 开发者没有对数据类型进行检查和转义   不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的...
PHP使用PDO实现mysql注入功能详解
10-15
下面将详细讲解如何使用PDO实现MySQL注入功能。 1. **理解SQL注入攻击** SQL注入攻击是黑客通过输入恶意的SQL代码,利用程序对用户输入数据未经充分过滤或验证,导致程序执行非预期的数据库操作。在上述例子中...
php mysql 注入_php SQL 注入的一些经验
weixin_28678517的博客
02-28 189
产生原因一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如:$id = $_GET['id'];$sql= "SELECT name FROM users WHERE id = $id";因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。如果按照下面方式写,就安...
phpmysqli注入攻略
我点评的博客
08-01 368
为了止SQL注入攻击,我们可以使用mysqli类中的prepare语句、mysqli_real_escape_string函数以及正确的数据类型等方法。在使用mysqli_real_escape_string函数时,我们需要将需要转义的字符串作为第一个参数传入函数中。mysqli是PHP中与MySQL交互的扩展,它提供了一种有效的止SQL注入攻击的方法。mysqli_real_escape_string函数是mysqli扩展中一个非常重要的函数,它可以将特殊字符转义,从而避免SQL注入攻击。
php+MySQL止sql注入
最新发布
php-yyds
11-12 499
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效地止了SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
php mysql止sql注入详细说明(2)
梦一笑轩
12-31 439
最近在折腾 PHP + MYSQL的编程。了解了一些 PHP SQL 注入攻击的知识,于是写了这篇文章 http://www.xiaohui.com/weekly/20070314.htm,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2
PHP注入分析
binger819623的专栏
05-11 1124
在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)      先来说说安全问题,我们首先看一下两篇文章: http:/
mysql php 注入,PHP+mysql止SQL注入的方法小结
weixin_31708209的博客
03-11 294
本文实例讲述了PHP+mysql止SQL注入的方法。分享给大家供大家参考,具体如下:SQL注入例:脚本逻辑$sql = "SELECT * FROM user WHERE userid = $_GET[userid] ";案例1:SELECT * FROM t WHERE a LIKE '%xxx%' OR (IF(NOW=SYSDATE(), SLEEP(5), 1)) OR b LIKE '...
php mysql止sql注入_php mysql止sql注入详细说明
weixin_33340674的博客
01-19 155
sql注入我必须从sql语句到php get post 等数据接受处理上来做文章了,下面我们主要讲phpmysql的sql语句上处理方法,可能忽略的问题.看这个例子,代码如下://supposedinput$name=“ilia’;deletefromusers;”;mysql_query(“select*fromuserswherename=’{$name}’”);很明...
phpmysql注入
空白_回忆的博客
01-05 4615
1、PHP预定义字符是:单引号(’)、双引号(”)、反斜杠(\)、NULL 注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
mysql 注入 php,php操作mysql止sql注入(合集)
weixin_32745019的博客
03-17 157
当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。$unsafe_variable = $_POST['user_input'];用户可以输入诸如 : value'); DROP TABLE table; ,SQL语句就变成这样了:执行的结果就是table表被删掉了。1.魔术引用 (推荐指数3)addslashes()用于对变量中的' " \和NULL添加\斜杠,用于避免传入sq...
php mysql sql注入_php sql注入方法
weixin_29605607的博客
02-28 315
phpsql注入的方法:1、使用mysql_real_escape_string方法转义SQL语句中使用的字符串中的特殊字符;2、打开magic_quotes_gpc来止SQL注入;3、通过自定义函数sql注入PHP+Mysql止SQL注入的方法这篇文章介绍的内容是关于PHP+Mysql止SQL注入的方法:方法一:mysql_real_escape_string -- 转义 SQL 语...
PHP+MySQL注入实战指南
"PHP+Mysql注入实战.pdf - 一本关于PHPMySQL数据库的SQL注入教程,适合新手学习。" 在网络安全领域,PHPMySQL的SQL注入攻击是一个严重的问题,它允许攻击者通过在输入数据中嵌入恶意SQL代码来操纵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值