PHP如何防止注入及开发安全

最新推荐文章于 2021-03-26 00:31:08 发布
最新推荐文章于 2021-03-26 00:31:08 发布
阅读量275 收藏
点赞数
分类专栏: php学习 文章标签: php sql insert delete table session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huihuang518/article/details/5780556
版权

幻灯片 2

1 PHP 注入的基本原理
 幻灯片 2
程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对
用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据
 幻灯片 2
SQL 注入过程

库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的
SQL Injection ,即 SQL 注入。 受影响的系统:对输入的参数不进行检查和过滤的系统
幻灯片 2
正常来讲,我们通过地址接收一些必要的参数如:
  PHP100.php?id= 2   页面中我们会使用   2 写入到 SQL 语句中
 
正常情况: Select * From Table where id=2
如果我们对 SQL 语句熟悉,就知道 2 我们可以替换成我们需要的 SQL 语句
如: and exists (select id from admin)
2、防止注入的几种办法
其实原来就是我们需要过滤一些我们常见的关键字和符合如:

Select,insert,update,delete,and,*,等等
function inject_check($sql_str) {
   return eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file
|outfile', $sql_str);     // 进行过滤
}
或者是通过系统函数间的过滤特殊符号

Addslashes(需要被过滤的内容)
3、PHP其他地方安全设置
1、register_globals = Off   设置为关闭状态
2、SQL语句书写时尽量不要省略小引号和单引号
Select * From Table Where id=2       (不规范)
Select * From ·Table· Where ·id·=’2’       (规范)
3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤
4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名
5、对于常用方法加以封装,避免直接暴露SQL语句

 

huihuang518
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php注入开发安全详细解析
10-27
以下是对php注入开发安全进行了详细的分析介绍,需要的朋友可以过来参考下
PHP防止SQL注入的方法
tongluren381的博客
10-20 3648
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php防止模拟请求
倾城一笑stu
10-30 3355
1.一些网站是采用检测此IP地址登录的密集度,多次登录后需要输入验证码,那么这时CURL模拟的提交就需要去对验证码图片进行分析,这样就会花费大量时间,当然,这种是对于防止登录被爆破,用户资料泄露的。 2.还有一种就是直接在session保存生成的随机码,然后放在input的隐藏域,这种比验证码那种差了许多。 3.注意javascipt本身是无法跨域提交的,不是因为不能做到,而是防止别人
PHP防止注入攻击
无界编程
03-23 4255
注入攻击不多说了 PHP addslashes() 函数--单撇号加斜线转义PHP String 函数定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (')双引号 (")反斜杠 (\)NULL语法addslashes(string)参数描述string必需。规定要检查的字符串。提示和注释提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准
php关于数字防注入,intval溢出,intval
u010412301的博客
02-13 4736
php关于数字防注入,intval溢出,intval 不同位数的操作系统表现的最大值不同 数字防注入方法 1.强制转换类型,intval(num),(int)num(mum小于等于2147483647), 2.num=num+0 这样php也会自动给你转换 $n="n"; $a=2147483648.05555; echo intval($
六、PHP如何防止注入开发安全.pdf
最新发布
07-30
六、PHP如何防止注入开发安全.pdf
php如何防止注入安全开发
07-10
防止黑客倾入网站获取信息,及时保护自身网站安全
PHP100视频教程 53:PHP如何防止注入开发安全.rar
07-09
1、PHP注入的基本原理  程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的...
PHP防止sql语句注入终极解决方案
newmiracle学习天地
02-09 482
PHP防止sql语句注入终极解决方案 完美解决方案就是使用拥有Prepared Statement机制的PDO $pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
php 怎么防注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 1990
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
转:PHP防止SQL注入的方法
weixin_34258838的博客
10-08 751
【一、在服务器端配置】        安全PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
Ajax+PHP打造等待进度条效果
快乐编程
07-31 2313
<br /> 1、Ajxa常见问题  (1) js脚本缓存问题        答:这个问题是大家遇到最常见问题之一,因为修改了js内容调试的时候 并不能显示新写代码的结果,是因为js为了加速页面执行,当前页面会使用缓存保持 当前调用的相同连接。为了开发时调试方便可以在连接地址的后面增加一个随机函数。  如原地址:for.php   增加随机后 for.php?1293874  (2) 本地调试js脚本不起作用        答:因为使用ajxa传递参数的时候需要head支持,所以我们只有在站点下才可以 成
PHP SQLite 的使用和配置
快乐编程
08-05 715
<br /> 1、PHPSQLite 简介和特点 SQLite是一款轻型的数据库,是遵守ACID标准,它占用资源非常的低,可能只需要几百K的内存就够了。 它能够支持Windows/Linux/Unix等等主流的操作系统,同时能够支持很多程序语言,如C、PHP、Java等  注:SQLite 的数据库是个独立的文件,和程序一样保持在WEB目录下即可   特点:    1、SQLite数据库足够小, 大致3万行C代码, 共计250K左右     2、配置简单,支持各类平台:Windows/Linux/
PHP+Flash多文件异步上传 swfupload
快乐编程
08-05 647
<br /> 1、多文件选取异步上传的原理 传统上传 多个文件逐一选取-php开始循环处理php+flash上传js调用flash控件-flash批量选取并保持选取所有文件列表-依次出发php上传-db2、 swfupload 介绍和相关使用<br />  SWFUpload是一个客户端文件上传工具,它通过整合Flash与JavaScript技术为 WEB开发者提供了一个具有丰富功能继而超越传统<input type="file" /> 标签的文件上传模式。   * 可以同时上传多个文件; * 类似AJ
PHP5中使用PDO连接数据库
快乐编程
08-01 555
<br />幻灯片 2幻灯片 21、PDO  简介和配置<br />PDO(PHP Data Object) 是PHP 5 中加入的东西,是PHP 5新加入的一个重大功能,因为在PHP 5以前的 php4/php3都是一堆的数据库扩展来跟各个数据库的连接和处理,什么 php_mysql.dll、php_pgsql.dll、 php_mssql.dll、php_sqlite.dll等等 PHP6中也将默认使用PDO的方式连接,mysql扩展将被作为辅助<br /><br /> php.ini<br /
ajax+php检查用户名或邮件
快乐编程
07-31 496
<br /> 1、Ajax技术实现用户名检查原理填入用户名-触发控件-获得填写内容-ajax传递-查询数据库-返回结果-dom反应到页面  2、学习HTML的几种触发onblur 事件会在对象失去焦点时发生。 onchange 事件会在域的内容改变时发生。 onclick 事件会在对象被点击时发生。 onfocus 事件在对象获得焦点时发生。 onkeydown 事件会在用户按下一个键盘按键时发生。 onkeypress 事件会在键盘按键被按下并释放一个键时发生。 onkeyup 事件会在键盘按键被松开时
PHP开发通用采集入库程序(一)
快乐编程
08-05 493
<br />1、PHP采集程序构建基本步骤采集程序是什么? 答:获取远程数据(文字,图片、文件等)并快速保存到本地或者指定地址。<br />远程获取-替换内容-展示给用户 小偷程序<br /> 远程获取-提取内容-分类存储-读取内容-展示内容 采集程序<br /> 2、设计PHP采集入库程序UML   3、 PHP采集入库用到的知识点   file_get_contents()远程文件获取函数,用来获取远程页面内容 preg_match_all()进行全局正则表达式匹配用于匹配列表 preg_match
php 防止注入代码
05-30
防止注入攻击是 Web 开发中必须要考虑的一个安全问题,以下是一些 PHP 防止注入攻击的代码示例: 1. 使用预处理语句 PDO: ``` $pdo = new PDO('mysql:host=localhost;dbname=test', $user, $pass); $stmt = $pdo-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值