PHP+SQL注入浅析
1、何为SQL注入?
2、SQL注入的方式?
3、如何防止网站被SQL注入?
SQL注入定义
SQL注入方式
注入示例
①
②
③
如果不对接收到的参数id的值进行过滤的话,网站会存在被注入的风险,因为你无法预知用户输入的都是合法数据。(永远不要相信用户输入的数据)
存在SQL注入
①
②
③
SQL防注入处理后
①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。
当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数。
这里只做简单的介绍,具体深入的注入方式慢慢研究。
防注入处理
1、 对于用户输入的数据进行校验,去除敏感的字符串(英文
2、 对于用户输入的数据要先进行合法化处理(例如类型转换,数据范围验证),防止用户 蓄意找找网站的漏洞来获取非法数据。
3、 每个生成的php文件进行单独访问,查看数据的输出是否正常(尤其是ajax处理的php 页面)。
4、
5、 增加
6、上线前去掉php警告数据显示。
更多资料参考 http://www.php.net/manual/zh/security.database.sql-injection.php