php网站如何防止sql注入?

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量761 收藏 1
点赞数

  网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么 ?

  最原始的静态的网站反而是最安全的。今天我们讲讲PHP注入的安全规范,防止自己的网站被sql注入。

  如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起:

  Php注入的安全防范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的防范方法:

  首先是对服务器的安全设置,这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On,display_errs设置为Off,如果id型,我们利用intval()将其转换成整数类型,如代码:

  $idintval($id);

  mysql_query”*fromexamplewherearticieid’$id’”;或者这样写:mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")

  如果是字符型就用addslashes()过滤一下,然后再过滤”%”和”_”如:

  $searchaddslashes($search);

  $searchstr_replace(“_”,”\_”,$search);

  $searchstr_replace(“%”,”\%”,$search);

  当然也可以加php通用防注入代码:

  /*************************

  PHP通用防注入安全代码

  说明:

  判断传递的变量中是否含有非法字符

  如$_POST、$_GET

  功能:

  防注入

  **************************/

  //要过滤的非法字符

  $ArrFiltratearray(”‘”,”;”,”union”);

  //出错后要跳转的url,不填则默认前一页

  $StrGoUrl”";

  //是否存在数组中的值

  functionFunStringExist($StrFiltrate,$ArrFiltrate){

  feach($ArrFiltrateas$key>$value){

  if(eregi($value,$StrFiltrate)){

  returntrue;

  }

  }

  returnfalse;

  }

  //合并$_POST和$_GET

  if(function_exists(array_merge)){

  $ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

  }else{

  feach($HTTP_POST_VARSas$key>$value){

  $ArrPostAndGet[]$value;

  }

  feach($HTTP_GET_VARSas$key>$value){

  $ArrPostAndGet[]$value;

  }

  }

  //验证开始

  feach($ArrPostAndGetas$key>$value){

  if(FunStringExist($value,$ArrFiltrate)){

  echo“alert(/”Neeao提示,非法字符/”);”;

  if(empty($StrGoUrl)){

  echo“histy.go(-1);”;

  }else{

  echo“window.location/”".$StrGoUrl.”/”;”;

  }

  exit;

  }

  }

  ?>

  /*************************

  复制代码

  保存为checkpostget.php

  然后在每个php文件前加include(“checkpostget.php“);即可

  **************************/

  另外将管理员用户名和密码都采取md5加密,这样就能有效地防止了php的注入。

  还有服务器和mysql也要加强一些安全防范。

  对于linux服务器的安全设置:

  加密口令,使用“/usr/sbin/authconfig”工具打开密码的shadow功能,对passwd进行加密。

  禁止访问重要文件,进入linux命令界面,在提示符下输入:

  #chmod600/etc/inetd.conf//改变文件属性为600

  #chattr+I /etc/inetd.conf //保证文件属主为root

  #chattr–I /etc/inetd.conf //对该文件的改变做限制

  禁止任何用户通过su命令改变为root用户

  在su配置文件即/etc/pam.d/目录下的开头添加下面两行:

  Auth sufficient /lib/security/pam_rootok.sodebug

  Auth required /lib/security/pam_whell.sogroupwheel

  删除所有的特殊帐户

  #userdel lp等等删除用户

  #groupdellp等等删除组

  禁止不使用的suid/sgid程序

  #find/-typef\(-perm-04000 -o–perm-02000\)\-execls–lg{}\;

  http://hi.baidu.com/bigideaer/bl ... 7e76e11a4cffd0.html

  判断传递的变量中是否含有非法字符我们把以下代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们一劳永逸的效果。

  简述:/*************************

  说明:

  判断传递的变量中是否含有非法字符

  如$_POST、$_GET

  功能:防注入

  **************************/

  代码如下:

  //要过滤的非法字符

  $ArrFiltratearray("",";","union");

  //出错后要跳转的url,不填则默认前一页

  $StrGoUrl"";

  //是否存在数组中的值

  functionFunStringExist($StrFiltrate,$ArrFiltrate){

  feach($ArrFiltrateas$key>$value){

  if(eregi($value,$StrFiltrate)){

  returntrue;

  }

  }

  returnfalse;

  }

  //合并$_POST和$_GET

  if(function_exists(array_merge)){

  $ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

  }else{

  feach($HTTP_POST_VARSas$key>$value){

  $ArrPostAndGet[]$value;

  }

  feach($HTTP_GET_VARSas$key>$value){

  $ArrPostAndGet[]$value;

  }

  }

  //验证开始

  feach($ArrPostAndGetas$key>$value){

  if(FunStringExist($value,$ArrFiltrate)){

  echo"alert(\"非法字符\");";

  if(emptyempty($StrGoUrl)){

  echo"histy.go(-1);";

  }else{

  echo"window.location\"".$StrGoUrl."\";";

  }

  exit;

  }

  }

  ?>

  复制代码

  保存为checkpostget.php

  然后在每个php文件前加include(“checkpostget.php“);即可

  方法2

  代码如下:

  /*过滤所有GET过来变量*/

  feach($_GETas$get_key>$get_var)

  {

  if(is_numeric($get_var)){

  $get[strtolower($get_key)]get_int($get_var);

  }else{

  $get[strtolower($get_key)]get_str($get_var);

  }

  }

  /*过滤所有POST过来的变量*/

  feach($_POSTas$post_key>$post_var)

  {

  if(is_numeric($post_var)){

  $post[strtolower($post_key)]get_int($post_var);

  }else{

  $post[strtolower($post_key)]get_str($post_var);

  }

  }

  /*过滤函数*/

  //整型过滤函数

  functionget_int($number)

  {

  returnintval($number);

  }

  //字符串型过滤函数

  functionget_str($string)

  {

  if(!get_magic_quotes_gpc()){

  returnaddslashes($string);

  }

  return$string;

  }

  复制代码

  第一个是对数据进行转义的方法

  第二个方法写在单独的文件里,引入每一个PHP文件内

  就可以实现对每一个数据进行转义处理了

  functionsaddslashes($string){

  if(is_array($string)){

  feach($stringas$key>$val){

  $string[$key]saddslashes($val);

  }

  }else{

  $stringaddslashes($string);

  }

  return$string;

  }

  #################################################################

  $magic_quoteget_magic_quotes_gpc();

  if(empty($magic_quote)){

  $_GETsaddslashes($_GET);

  $_POSTsaddslashes($_POST);

  }

Dusk-assion
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
php防止SQL注入的最佳解决方法
10-27
总结来说,使用预编译语句和参数化查询是PHP防止SQL注入的最佳方法。它通过将SQL语句的结构与参数值的绑定分离,极大地降低了SQL注入的风险,保护了应用程序的安全。开发者应当在实际开发中充分运用这些技术,确保...
php网站防止sql注入攻击方法
qq_780662763的博客
03-05 455
网站安全防护—该如何防止SQL注入攻击? 移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑, 随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击, 网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员 数据被盗走,这无意是给网站带来了严重的影响与经济损失。 像之前的高考网站被黑,高考完的学生们去查高...
sql注入 php代码,完美的phpsql注入代码
weixin_35674742的博客
03-10 673
一款比较完美的phpsql注入代码,很多初学者都有被sql注入的经验吧,今天我们来分享你一款比较完整的sql防注入代码,有需要的同学可以参考一下:/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:防注入*************************///要过滤的非法字符$ArrFiltrate=array("'","or...
PHP简单代码防止SQL注入
网络剑客
04-28 1364
Function inject_check($sql_str) { return preg_match('/select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i', $sql_str); } if (inject_check($_SERVER['QUERY_STRING']
PHP防止SQL注入实现代码
10-28
防止SQL注入是确保网站和应用程序数据安全的关键步骤。以下是对PHP防止SQL注入实现的详细解释: 1. **理解SQL注入**: SQL注入攻击通常发生在应用程序将用户输入的数据直接拼接到SQL查询中,而不进行任何验证或...
php防止sql注入简单分析
10-24
总的来说,防止SQL注入PHP开发者在编写数据库交互代码时必须重视的问题。通过使用stripslashes和mysql_real_escape_string函数等技术手段,结合安全的编码习惯和最新的数据库访问技术,开发者可以大幅减少SQL注入...
php防止SQL注入详解及防范
10-26
与此同时,安全漏洞特别是SQL注入漏洞,一直是PHP开发过程中需要重点防范的问题。 SQL注入漏洞发生在应用程序未能正确处理用户输入的情况下,导致恶意用户能够通过输入特定的SQL命令,影响或控制数据库服务器。当...
php过滤提交数据 防止sql注入***(8)
weixin_34050005的博客
05-01 192
现在还剩下什么问题呢?远程表单提交。 远程表单提交 Web 的好处是可以分享信息和服务。坏处也是可以分享信息和服务,因为有些人做事毫无顾忌。 以 表单为例。任何人都能够访问一个 Web 站点,并使用浏览器上的 File > Save As 建立表单的本地副本。然后,他可以修改 action 参数来指向一个完全限定的 URL(不指向 formHandler.php...
php防止xss攻击和sql注入
dw5235的博客
04-08 1223
1、防止xss攻击 1、开启COOKIE_HTTPONLY = true ;//tp3.2 2、default_filter:设置为htmlspecialchars 百度官方方法: 和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、P...
php网站如何防止sql注入?(PHP注入的安全规范)
shao.bing的专栏
06-18 1282
<br />php网站如何防止sql注入?<br /> <br />网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,防止自己的网站sql注入。<br />如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起:<br />Php注入的安全防范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的防范方法:<br /
PHP常见的SQL防注入方法
最新发布
weixin_43741253的博客
09-22 2926
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
PHP防止SQL注入的方法
tongluren381的博客
10-20 3783
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1313
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 781
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
转:PHP防止SQL注入的方法
weixin_34258838的博客
10-08 772
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
如何在PHP防止SQL注入
热门推荐
请叫我搞向
08-17 2万+
如何在PHP防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致S
(3) 什么是SQL注入?为什么PDO能够防止SQL注入?
06-11
PDO(PHP Data Objects)是PHP的一个数据库抽象层,它提供了一种安全的、面向对象的方式来操作数据库,PDO使用预处理语句和绑定参数的方式来防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句与参数分开处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值