PHP+SQL注入浅析

最新推荐文章于 2020-12-02 11:12:35 发布
最新推荐文章于 2020-12-02 11:12:35 发布
阅读量469 收藏 2
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gxrj11/article/details/51262812
版权

PHP+SQL注入浅析

 

 

1、何为SQL注入?

2、SQL注入的方式?

3、如何防止网站被SQL注入?

 

 

SQL注入定义

    hack通过不断的尝试来获取网站的漏洞(服务器,数据库信息),拼装SQL语句实现SQL注入非法获取数据。

SQL注入方式

注入示例

① http://www.mytest.com/showdetail.php?id=49 
② http://www.mytest.com/showdetail.php?id=49 ;and 1=1 
③ http://www.mytest.com/showdetail.php?id=49 ;and 1=2 

如果不对接收到的参数id的值进行过滤的话,网站会存在被注入的风险,因为你无法预知用户输入的都是合法数据。(永远不要相信用户输入的数据)

 

存在SQL注入

① 正常显示(这是必然的,不然就是程序有错误了)
② 正常显示,内容基本与相同
③ 提示BOFEOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next

 

SQL防注入处理后

同样正常显示,一般都会有程序定义的错误提示,或提示类型转换时出错。

 

当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数

这里只做简单的介绍,具体深入的注入方式慢慢研究。

 

防注入处理

1 对于用户输入的数据进行校验,去除敏感的字符串(英文 单引号,双引号,script标签

2 对于用户输入的数据要先进行合法化处理(例如类型转换,数据范围验证),防止用户 蓄意找找网站的漏洞来获取非法数据。

3、 每个生成的php文件进行单独访问,查看数据的输出是否正常(尤其是ajax处理的php 页面)。

4、 数据传输采用加密传输,用户密码可以采用jsmd5插件进行加密传输。

5、 增加 404处理,用户输入的跳转参数错误的情况下可以直接跳转到404不显示网站的 相关信息。

6、上线前去掉php警告数据显示。



更多资料参考 http://www.php.net/manual/zh/security.database.sql-injection.php
创业程序员卡酷
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用PHP设计SQL注入分析,PHPSQL注入分析(一)
weixin_39671631的博客
03-26 86
PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服务的秘密和安全方面却常常存在许多困难。在本文章中,我将向读者介绍进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你自己的web应用程序的安全性和一致性。详细出处参考:http://www.frostsky.com/2011/04/php...
PHPSQL注入解析
稻草人技术博客
09-19 836
一、 注入式攻击的类型 可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。 如 果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如”1=1”这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示): SEL
一个PHPSQL注入完整过程
chenxin1017的博客
06-26 572
学了SQL注入的一些技能后,以下正对PHP+MYSQL进行SQL注入的简单实践 首先观察两个MYSQL数据表 用户记录表: CREATE TABLE `php_user` ( `id` int(11) NOT NULL auto_increment, `username` varchar(20) NOT NULL default '', `password` v
PHP如何防止SQL注入
justonlyme_的专栏
08-26 494
一、 引言 PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服务的秘密和安全方面却常常存在许多困难。在本系列文章中,我们将向读者介绍进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你自己的web应用程序的安全性和一致性。首先,我们简单地回顾一下服务器安全问题-展示你如何存取一个共享宿
20169205 2016-2017-2 实验SQL注入实验
weixin_30326515的博客
05-10 257
20169205 2016-2017-2 实验SQL注入实验 实验介绍 SQL注入技术是利用web应用程序和数据库服务器之间的接口来篡改网站内容的攻击技术。通过把SQL命令插入到Web表单提交框、输入域名框或页面请求框中,最终欺骗服务器执行恶意的SQL命令。 在这个实验中,我们使用的web应用程序称为Collabtive。我们禁用Collabtive的若干防护措施,这样我们就创建了一个容易受到...
PHP+MYSQL 注入靶场
最新发布
04-26
**PHP+MYSQL 注入靶场**是一个用于学习和实践**SQL注入**的平台,它包含相关的源代码,有助于用户深入理解漏洞的原理。通过这个靶场,你可以模拟真实环境下的安全测试,提升对SQL注入攻击的防御能力。下面将详细阐述...
SQL注入源码+SQL注入命令
07-16
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地处理用户输入数据时,导致攻击者能够构造恶意SQL语句,从而获取、修改、删除或者控制数据库中的敏感信息。在这个实验中,我们将关注Java语言如何处理SQL...
PHP+Mysql 带SQL注入源码 下载
01-01
这个"PHP+Mysql 带SQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入PHP与MySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
PHP+MySQL实现简单的登录(SQL注入入门实验
热门推荐
江左盟的博客
06-03 1万+
实验是入门级的SQL注入实验,手工注入吧,用sqlmap就没意思了,简单过程:用户输入用户和密码然后提交,服务端收到用户和密码并查询数据库输出到页面。 一、创建数据库 create database web1; 创建两张表,一张保存登录用户和密码,另一张保存flag: create table test(user varchar(15),password varchar(16)); c...
SQL注入系列之PHP+Mysql手动注入(一)----数字型
fendo
01-01 1万+
常见的几种SQL注入 1.数字型 2.字符型 3.文本型 4.搜索型(POST/GET) 5.cookie注入 6.SQL盲注 MySQL报错注入基本流程: Mysql注入步骤 1.判断sql注入 2.猜解表名 3.猜解列名 4.猜解字段内容 5.导出webshell 1.判断sql注入 ○提交单引号' ○and大法和or大法
php中防注入函数addslashes() ,mysql_real_escape_string() 和mysql_escape_string() 的区别
寻找甘当科学家的女人/男人
01-21 3504
来源:http://www.akii.org/2009-08/php-in-the-addslashes-mysql_real_escape_string-and-mysql_escape_string-the-difference-between/这三个函数的功能各有不同,前两个如果没有加载mysql库是都用不上的,当然,现在有PDO的prepare然后setParam当然是很方便,mysq
SQL注入系列之PHP+Mysql手动注入(二)----字符型
fendo
02-25 7056
一、什么是字符型注入以及原理 1)字符型注入简介 字符串或串(String)是由数字、字母、下划线组成的一串字符。一般记为 s=“a1 a2 ···an ” (n>=0)。它是编程语言中表示文本的数据类型。 字符型注入就是把输入的参数当做字符串来对数据库进行查询,字符型注入在sql语句中都采用单引号括起来。 2)基本原理: 看看这条SQL语
关于SQL注入的总结
王意林的专栏
02-04 8888
虽然回家了,但是精神上一直病恹恹的,莫名其妙,搞了一学期的渗透,把经验总结一下,珠海估计去不成了,好好待在家休养生息也好。 首先搭一个简单的环境IIS7+MYSQL+ACCESS+MSSQL 环境配置: 因为装的是64位的win7所以环境配置上有一些麻烦。 ACCESS:(1)修改应用程序池高级设置,启用32为应用程序设置为TRUE (2)C:\Windows\SysWOW64\o
PHP -- SQL 注入讲解
tryheart的博客
12-02 1114
概念 SQL 注入漏洞,本质是语句的混淆,对用户输入的语句过滤不严,导致语句拼接成新的语句,达到注入的目的。 原理 参数用户可控:前端传给后端的参数内容是用户可控的。 参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。 注入点类型 数字型 select * from tables where id = 1; 字符型 select * from tables where id = '1'; 搜索型 select* from tables where id like '%1%'; 基于 u
浅谈“SQL注入
→_→
05-08 461
漏洞名称: SQL注入 、SQL盲注 描述: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。...
如何修复php网站漏洞
网站漏洞修复专家
04-08 3775
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。 metinfo...
PHP实现增删改查以及防SQL注入
07-12 6077
最近项目调研时,需要在集成板子上做个配置的网页,板子上装的是linux系统,配置信息在一个Sqlite数据库中,经过讨论大家决定用PHP做这个网页。由于项目组没一个会PHP的,所以安排我调研下写个Demo,经过四天的研究终于完成了Demo的调研(调研过程主要参考网络,具体开发就交给月底入职的小弟去做了,哈哈,有个小弟真好),特此记录(根据我调研的顺序展开)。
dcwn平台搭建+sql注入
12-29
根据提供的引用内容,我可以给你介绍一下dcwn平台搭建和SQL注入。 1. DCWN平台搭建: DCWN是一个网络安全漏洞扫描平台,用于检测和评估Web应用程序的安全性。搭建DCWN平台的步骤如下: - 首先,你需要准备一台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值