php防止sql注入处理方法

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量723 收藏
点赞数 1
分类专栏: PHP 文章标签: sql注入 xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lw545034502/article/details/90600714
版权

解决的办法是将php.ini的magic_quotes_gpc设置为Off

php.ini的magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。

注:magic_quotes_gpc=On时会有问题:在Cookies里,如果有'这样的标点符号,会将这些符号全部转义为\'

如果这个选项为off,那么我们就必须调用addslashes这个函数来为字符串增加转义。

正是因为这个选项必须为On,但是又让用户进行配置的矛盾,在PHP6中删除了这个选项,一切的编程都需要在magic_quotes_gpc=Off下进行了。在这样的环境下如果不对用户的数据进行转义,后果不仅仅是程序错误而已了。同样的会引起数据库被注入攻击的危险。所以从现在开始大家都不要再依赖这个设置为On了,以免有一天你的服务器需要更新到PHP6而导致你的程序不能正常工作。

 代码如下复制代码

当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1

当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0

addslashes():对输入字符串中的某些预定义字符前添加反斜杠,这样处理是为了数据库查询语句等的需要。这些预定义字符是:单引号 (') ,双引号 (") ,反斜杠 (\) ,NULL。

stripslashes():删除由 addslashes() 函数添加的反斜杠。该函数用于清理从数据库或 HTML 表单中取回的数据。(若是连续二个反斜杠,则去掉一个,保留一个;若只有一个反斜杠,就直接去掉。)
更加简便的防止sql注入的方法(推荐使用这个):
 
 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开     
 {     
    $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤     
 }     
 
 $name = str_replace("_", "\_", $name); // 把 '_'过滤掉   
   
 $name = str_replace("%", "\%", $name); // 把' % '过滤掉     
 
 $name = nl2br($name); // 回车转换     
 
 $name= htmlspecialchars($name); // html标记转换    
     
 return $name;

 

尕夜寻欢
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php防止sql注入方法详解
10-20
PHP防止SQL注入方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
PHPSQL注入代码,PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2423
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php 防止注入 xss,PHP 安全输入输出方式 「防止 XSS 注入」
weixin_35990581的博客
03-11 278
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。我在开发中使用严进严出的安全保障方式:保证安全输入(严进)添加中间件,对所有参数进行过滤转换:htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签class...
PHP 安全:如何防止PHP中的SQL注入
最新发布
新华编程特战队
04-23 1529
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
PHP防止SQL注入方法
tongluren381的博客
10-20 3742
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
PHP防止注入攻击
无界编程
03-23 4256
注入攻击不多说了 PHP addslashes() 函数--单撇号加斜线转义PHP String 函数定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (')双引号 (")反斜杠 (\)NULL语法addslashes(string)参数描述string必需。规定要检查的字符串。提示和注释提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1291
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php防止SQL注入的最佳解决方法
10-27
本篇文章介绍了,php防止SQL注入的最佳解决方法。需要的朋友参考下
PHP登录环节防止sql注入方法浅析
12-18
防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试的时候一下就攻破了你的数据库,下面我们来简单的介绍一个...
PHP简单实现防止SQL注入方法
01-20
本文实例讲述了PHP简单实现防止SQL注入方法。分享给大家供大家参考,具体如下: 方法一:execute代入参数 <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $...
php 释放内防_PHP如何防止注入及开发安全
weixin_39938855的博客
12-21 143
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP10...
PHP-Phalcon框架中的数据库操作
12-14
> 本文描述了PHP-Phalcon框架中数据库操作方法,主要讨论Phalcon框架的Model组件中的操作方法。更详细的Model介绍请参考:官方文档   1. 连接数据库   在Phalcon框架中,通过在DI中注入db参数来实现数据库的连接和配置,基本的配置方法如下:   use PhalconDbAdapterPdoMysql as DbAdapter;   $di->set('db', function () {   return new DbAdapter(array(   "host"     => "localhost",   "username" => "roo
辛星浅析phalcon中常用的依赖注入
辛星,前进的路上.
08-30 3053
其中phalcon也使用了依赖注入,而且phalcon在启动的过程中,需要使用很多的类,这些类都是通过依赖注入来进行配置的,然后通过加载器来载入的,下面介绍一下对于经常需要注入的服务。        对于路由器router,它负责解析url参数,该类文件是 \Phalcon\Mvc\Router,它的add参数类配置一个路由,下面是一个添加的范例:    $di->set('router',
phalcon 注入服务到模型(错误信息集中处理
xueling022的专栏
01-29 1887
你可能需要在模型中用到应用中注入的服务,下面的例子会教你如何去做: namespace Store\Toys;use Phalcon\Mvc\Model;class Robots extends Model { public function notSaved() { // Obtain the flash service from the DI container
3、phalcon 依赖注入自定义类
wade1010的专栏
11-24 145
但是推荐使用 registerNamespaces 效率比registerDirs高 如下
PHP处理mysql注入漏洞原理及方法
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-06 828
SQL注入可以造成数据库信息泄露,特别是数据库中存放的用户隐私信息的泄露。通过操作数据库对特定网页进行篡改,修改数据库一些字段的值,嵌入恶意链接,进行挂马攻击,传播恶意软件。服务器还容易被远程控制,被安装后门,经由数据库服务器提供的操作系统支持,让攻击者得以修改或控制操作系统以及破坏硬盘数据,瘫痪全系统。
php sql注入
技术的搬运工
01-16 2256
在应用程序中,为了和用户交互,允许用户提交输入数据,假如应用程序并没有对用户输入数据进行处理,攻击者可以输入一些跟sql语句相关的字符串(一般带有特殊字符)从而让应用程序执行危险的 SQL 操作,导致泄漏机密数据(比如用户信息)或直接修改删除线上的数据。
Phalcon SQL语句参数绑定
EatherToo的博客
08-24 1290
phalcon SQL语句的参数绑定有一个坑,表名要使用::class获取才能用 然后使用 $model-&gt;getModelsManager()-&gt;executeQuery($sql, $bindArr); 正常用就可以 $goodsClass = WeGoods::class; $snapshotClass = WeGoodsSnapshot::class; $condi...
php 防止sql注入
07-21
这样可以确保用户输入被正确地转义和处理,从而防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); ``` 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值