php如何防sql注入以及开发安全

最新推荐文章于 2024-08-22 10:42:50 发布
最新推荐文章于 2024-08-22 10:42:50 发布
阅读量655 收藏
点赞数
分类专栏: PHP 文章标签: sql php insert delete table session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangjianxiang1875/article/details/7787433
版权
一、php安全设置
1、 register_globals  = Off    设置为关闭状态
2 SQL 语句书写时尽量不要省略小引号和单引号
     s elect * From Table Where id=2    ( 不规范 )

     select * From `Table` Where `id`='2'  (规范)

3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤

4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名

5、对于常用方法加以封装,避免直接暴露SQL语句


二、$_POST $_GET传值的时候一定要用intval()或者addslashes()函数进行过滤。


过滤一些我们常见的关键字和符合如:Selectinsertupdatedeleteand,*,等等


<?php

    function sql_guo($sql_str){

    $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|union|into|load_file|outfile',$sql_str);

if($check)

{

echo "注入非法字符";

exit();

}else{

return $sql_str;

}

}

$_GET[id]=sql_guo($_GET[id]);

echo $sql="select * from `table` where `id='$_GET[id]'";

?>

huangjianxiang1875
关注
专栏目录
数据库基础知识整理
岳来的博客
09-03 1万+
数据库基础知识整理
PHP如何SQL注入攻击?
破损的天堂鸟博客
07-19 1064
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地止了SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
PHP 安全:如何PHP中的SQL注入
新华编程特战队
04-23 2457
SQL注入护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,SQL 注入至关重要。
PHP 安全:如何PHP中的SQL注入?_php sql注入
最新发布
baimao__Ch的博客
08-22 708
SQL注入护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,SQL 注入至关重要。
PHP后端安全性:如何SQL注入和跨站脚本攻击?
ElvaRaleign的博客
04-25 1115
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁和漏洞信息,不断更新和改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式和资源的来源,从而止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
php+MySQLsql注入
php-yyds
11-12 534
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效地止了SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
phpsql注入,如何在PHP应用中SQL注入
weixin_35705450的博客
03-10 1685
SQL注入是一个控制数据库查询的技术,往往会导致丧失机密性。在某些情况下,如果成功执行SELECT'phpeval(base64_decode("someBase64EncodedDataHere"));'INTOOUTFILE'/var/www/reverse_shell.php'将导致服务器被攻击者拿下,而代码注入(包括SQL,LDAP,操作系统命令,XPath注入技术)长年保持在OW...
【网络安全学习】SQL注入03:如何SQL注入
Zane的博客
08-08 662
如何有效的SQL注入
phpsql注入方法
猿男孩的博客
06-20 778
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
PHP简单有效sql注入方法
qq_29203949的博客
04-12 812
开发中如何sql注入攻击
phpSQL注入的一个类
05-04
在IT行业中,SQL注入是一种常见的安全威胁,攻击者通过输入恶意的SQL代码来获取、修改、删除数据库中的敏感数据。为了止这种情况发生,开发者通常会采用各种御措施,其中之一就是使用PHP类来过滤和验证输入数据...
phpSQL注入详解及
10-26
与此同时,安全漏洞特别是SQL注入漏洞,一直是PHP开发过程中需要重点范的问题。 SQL注入漏洞发生在应用程序未能正确处理用户输入的情况下,导致恶意用户能够通过输入特定的SQL命令,影响或控制数据库服务器。当...
discuz的phpsql注入函数
12-17
标题中的"discuz的phpsql注入函数"指的是Discuz!这款开源的社区论坛软件中用于SQL注入攻击的一系列函数。SQL注入是网络安全中一个常见的威胁,它允许攻击者通过输入恶意的SQL代码,欺骗数据库执行非授权的...
phpSQL注入的最佳解决方法
10-27
PHP开发中,SQL注入是一种常见的安全漏洞,攻击者可以利用这个漏洞篡改数据库查询,从而获取敏感数据、修改数据库内容甚至控制服务器。SQL注入通常发生在用户输入被直接拼接到SQL查询语句中的时候,如果用户输入...
百度编辑器ueditor的使用方法
热门推荐
huangjianxiang1875的专栏
05-04 1万+
1) 官网上下载完整源码包,解压到任意目录,解压后的源码目录结构如下所示: _examples:编辑器完整版的示例页面 _demos:编辑器的各种使用案例 dialogs:弹出对话框对应的资源和JS文件 themes:样式图片和样式文件 server:涉及到服务器端操作的PHP、JSP等文件 third-party:第三方插件 editor_all.js:_src目录下所有文
如何将数据库中的GB2312编码转换成utf-8编码
huangjianxiang1875的专栏
07-26 9202
无标题文档 $dbhost="localhost"; $dbuser="root"; $dbpassword = ""; $dbname="2012"; $icen_news_archives1="icen_news_archives1";  mysql_connect($dbhost,$dbuser,$dbpassword) or die("数据库出了点小
php文件上传错误代码
huangjianxiang1875的专栏
07-26 8643
先抄一段:预定义变量$_FILES数组有5个内容:       $_FILES['userfile']['name']——客户端机器文件的原名称       $_FILES['userfile']['type']——文件的 MIME 类型       $_FILES['userfile']['size']——已上传文件的大小,单位为字节       $_FILES['userfile'][
php常见的几种排序以及二分法查找
huangjianxiang1875的专栏
07-04 5500
//插入排序 function insertSort($arr){ $count=count($arr); for($i=1;$i $tem=$arr[$i]; $j=$i-1; while ($arr[$j]>$tem){ $arr[$j+1]=$arr[$j]; $arr[$j]=$tem; $j--; } } return  $arr; } //选择排序 fun
PHP+SQlite 制作简单的留言板
huangjianxiang1875的专栏
07-26 5075
SQLite,是一款轻型的数据库,是遵守ACID的关联式数据库管理系统,它的设计目标是嵌入式的,而且目前已经在很多嵌入式产品中使用了它,它占用资源非常的低,在嵌入式设备中,可能只需要几百K的内存就够了。它能够支持Windows/Linux/Unix等等主流的操作系统,同时能够跟很多程序语言相结合,比如 Tcl、C#、PHP、Java等,还有ODBC接口,同样比起Mysql、PostgreSQL
PHP安全护代码:SQL注入
"提供了一个PHP通用的注入安全代码示例,用于检查并SQL注入攻击。" 在Web开发中,安全是至关重要的,尤其是对于使用PHP这种常见的服务器端脚本语言来说。SQL注入是一种常见的安全漏洞,攻击者可以通过在表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值