最全PHP防止sql注入方法

最新推荐文章于 2024-08-22 10:09:18 发布
最新推荐文章于 2024-08-22 10:09:18 发布
阅读量838 收藏 1
点赞数
分类专栏: Mysql

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 

使用方法如下:



  
  
  1. $sql = "select count(*) as ctr from users where username
  2. ='".mysql_real_escape_string($username)."' and 
  3. password='". mysql_real_escape_string($pw)."' limit 1";

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。


(2) 打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置:magic_quotes_gpc = Off
  这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
  比如把 ' 转为 \'等,对于防止sql注射有重大作用。

     如果magic_quotes_gpc=Off,则使用addslashes()函数


(3)自定义函数


  
  
  1. function inject_check($sql_str) { 
  2.     return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
  3. } 
  4.  
  5. function verify_id($id=null) { 
  6.     if(!$id) {
  7.         exit('没有提交参数!'); 
  8.     } elseif(inject_check($id)) { 
  9.         exit('提交的参数非法!');
  10.     } elseif(!is_numeric($id)) { 
  11.         exit('提交的参数非法!'); 
  12.     } 
  13.     $id = intval($id); 
  14.      
  15.     return $id; 
  16. } 
  17.  
  18.  
  19. function str_check( $str ) { 
  20.     if(!get_magic_quotes_gpc()) { 
  21.         $str = addslashes($str); // 进行过滤 
  22.     } 
  23.     $str = str_replace("_", "\_", $str); 
  24.     $str = str_replace("%", "\%", $str); 
  25.      
  26.    return $str; 
  27. } 
  28.  
  29.  
  30. function post_check($post) { 
  31.     if(!get_magic_quotes_gpc()) { 
  32.         $post = addslashes($post);
  33.     } 
  34.     $post = str_replace("_", "\_", $post); 
  35.     $post = str_replace("%", "\%", $post); 
  36.     $post = nl2br($post); 
  37.     $post = htmlspecialchars($post); 
  38.      
  39.     return $post; 
  40. }
转载请注明地址:  http://www.phpddt.com/php/228.html 尊重他人劳动成果就是尊重自己!
jacen01
关注
专栏目录
PHP函数防止SQL注入攻击
YxmtAi的博客
10-06 665
通过使用这些PHP函数和技术,我们可以有效地防止SQL注入攻击,并保护我们的应用程序免受恶意用户的攻击。但是,我们还应该采取其他安全措施,如限制数据库用户的权限、进行输入验证和输出编码,以提高应用程序的安全性。在开发PHP应用程序时,防止SQL注入攻击是至关重要的。SQL注入是一种常见的安全漏洞,攻击者可以利用该漏洞执行恶意SQL查询,从而获取、修改或删除数据库中的数据。mysqli_real_escape_string函数用于在字符串中转义特殊字符,以防止它们被错误地解释为SQL语句的一部分。
php防止sql注入方法详解
10-20
PHP防止SQL注入方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
php防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 801
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
PHP 安全:如何防止PHP中的SQL注入?_php 防止sql注入
最新发布
heike_Ch的博客
08-22 1206
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
PHP防注入的最简单函数
weixin_33898233的博客
05-29 120
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=>$value) {$content[$key...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6710
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
php防注入函数
若水印象博客
03-05 1354
1、 PHP注入的基本原理 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统 //防注入 functi
php防止SQL注入的最佳解决方法
10-27
总结来说,使用预编译语句和参数化查询是PHP防止SQL注入的最佳方法。它通过将SQL语句的结构与参数值的绑定分离,极大地降低了SQL注入的风险,保护了应用程序的安全。开发者应当在实际开发中充分运用这些技术,确保...
浅析php过滤html字符串,防止SQL注入方法
12-18
除此之外,还有一些常见的防止SQL注入方法: 1. 使用参数化查询或预处理语句:例如在PDO或MySQLi库中使用`prepare`和`execute`,这可以确保用户输入不会干扰SQL语句结构。 2. 使用安全的函数:例如`mysqli_real_...
PHP防止SQL注入攻击和XSS攻击的两个简单方法
12-17
`mysql_real_escape_string()`函数是PHP中用于防止SQL注入的一种常用方法。它会在字符串中的特殊字符前添加反斜杠,使得这些字符在SQL查询中被视为普通文本。例如: ```php $userId = $_GET['userId']; // 假设用户...
php防止注入函数,php防注入函数代码
weixin_42322219的博客
03-22 163
php防注入函数代码 在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何防注入的呢? php本身自带的一个函数addslaches() 这个函数功能有点弱,不能让人太放心 现在和大家分享一个简单的方法: 新建一个文件保存为checkpostandget.php 然后在php防注入函数代码在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何防注入的呢?php本身...
PHP 防注入函数(格式化数据)
01-20
复制代码 代码如下: <? //格式化数据(防止注入) function site_addslashes($string, $force = 0) { !defined(‘MAGIC_QUOTES_GPC’) && define(‘MAGIC_QUOTES_GPC’, get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = daddslashes($val, $force); } }
SQL注入php代码
08-24
SQL注入php,通用防注入类
php防止注入工具的函数,PHP的一些防注入函数
weixin_34207865的博客
03-10 330
PHP的一些防注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
PHP-浏览器参数防注入检测函数
蚂蚁学Python
02-22 250
对浏览器的URL的字段进行过滤,防止进行SQL注入 function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_st...
php 禁止用注入函数,PHP防注入函数代码总结_PHP教程
weixin_35662493的博客
03-21 447
/*函数名称:post_check()函数作用:对提交的编辑内容进行处理参  数:$post: 要提交的内容返 回 值:$post: 返回过滤后的内容*/function post_check($post) {if (! get_magic_quotes_gpc ()) { // 判断magic_quotes_gpc是否为打开$post = addslashes ( $post ); // 进行m...
SQL注入函数
weixin_34292924的博客
01-11 225
using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;usin...
PHPSQL注入不要再用addslashes和mysql_real_escape_string了(转)
weixin_30367945的博客
06-16 135
PHPSQL注入不要再用addslashes和mysql_real_escape_string了,有需要的朋友可以参考下。 博主热衷各种互联网技术,常啰嗦,时常伴有强迫症,常更新,觉得文章对你有帮助的可以关注我。 转载请注明"深蓝的镰刀" 看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用...
PHP安全防护代码:防止SQL注入
"提供了一个PHP通用的防注入安全代码示例,用于检查并防止SQL注入攻击。" 在Web开发中,安全是至关重要的,尤其是对于使用PHP这种常见的服务器端脚本语言来说。SQL注入是一种常见的安全漏洞,攻击者可以通过在表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值