php 防止sql注入

最新推荐文章于 2022-03-21 15:28:29 发布
最新推荐文章于 2022-03-21 15:28:29 发布
阅读量754 收藏
点赞数
分类专栏: php 文章标签: php sql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sh1/article/details/40185315
版权

标题起的名字很大其实这里只说一个简单的方法

防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式

直接看high级别的就可以了

        $id = $_GET['id'];
	$id = stripslashes($id);
	$id = mysql_real_escape_string($id);

	if (is_numeric($id)){

		$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
		$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );

		$num = mysql_numrows($result);

可见它的处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \,

然后再使用函数mysql_real_escape_string 转义特殊字符就行了。

所以当我们编写类似代码的时候

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";

我们最简单的方法是
直接将变量$id 进行stripslashes 和 mysql_real_escape_string 处理。

注意: 这里并不是说这样就安全了, 这只是其中一种方式我可没说这就安全了。 更多的还要依据实际情况进行处理。

——来自自己的笔记

Simael__Aex
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
阿里云提示:对输入参数id未进行正确类型转义,导致整型注入的发生
weixin_34116110的博客
12-13 129
类似以下提示: XXX.php中,对输入参数id未进行正确类型转义,导致整型注入的发生   解决办法: 找到对应文件:$id = $_GET['id']; 增加以下标红过滤: $id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escape_string($id); $_POST[‘id’] = ...
通过DVWA学习SQL注入漏洞
Mi1k7ea
02-21 2万+
此篇文章作为本人的学习小笔记,有任何不足之处望各位大牛多多指教~ SQL注入漏洞作为OWASP TOP10中重要的一部分,可见其安全性的危害有多大。简单地说,SQL注入就是通过构建特殊的具有SQL语法的语句,绕到数据库中进而执行相应的操作的漏洞。关于SQL注入更多的描述就不再多说了,网上资料也很多,下面就直接上笔记。 基于报错的检测方法: 各种符号以及组合: ‘  “  (  %
SQL注入代码分析
weixin_30650039的博客
05-03 151
仔细看了下dvwa里面的sql注入,对此加以分析,为什么会导致该问题。 以下代码是安全性最低的,且看下: <?php if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_...
代码审计 PHP代码理解.
网络安全领域___专研者.
03-21 4104
PHP语言的 概括: (1)PHP 是可以创建动态交互性站点的强有力的服务器端的脚本语言。 (2)PHP可以做很多东西,特别是web网站开发,也可以使用的非常广泛。能够快速,灵活,实用使得PHP语言可以更好的开发任何网站。 (3)PHP 是一种 HTML 嵌入式的脚本语言。php文件以.php结尾。PHP语言的很多语法来自 C,Java 和 Perl,并具有几个 PHP 独有的特点。PHP语言的主要目标是让 Web 开发程序员可以快速的书写动态生成的网页。
dvwa详解_大白话之从零讲解 DVWA(贰)-SQL 注入 (SQL Injection) Medium/High Level
weixin_35440082的博客
01-17 425
前言本章我们将进行 Medium 和 High 等级的 DVWA SQL Injection 手工注入。阅读本篇文章前,你需要了解下面的知识:转义字符在 PHP 中的作用MySQL:LIMIT 语句的作用与用法Medium Level SQL 注入和初级一样,我们输入如下语句:1' order by 2 #但得到了如下结果:`You have an error in your SQL syntax...
php防止sql注入代码实例
10-26
### PHP防止SQL注入的方法与实践 #### 一、引言 在Web开发中,SQL注入是一种常见的安全攻击手段,攻击者通过将恶意SQL代码插入到应用程序的查询语句中,以此来操纵数据库执行非预期的操作。为了提高Web应用的安全...
php防止sql注入简单分析
10-24
主要介绍了php防止sql注入的方法,简单分析了通过stripslashes及mysql_real_escape_string函数进行字符转移处理的技巧,非常具有实用价值,需要的朋友可以参考下
php防止SQL注入详解及防范
10-26
SQL 注入PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞
PHP中addslashes()和stripslashes()实现字符串转义和还原用法实例
10-23
主要介绍了PHP中addslashes()和stripslashes()实现字符串转义和还原用法,结合实例形式较为详细的分析了addslashes()和stripslashes()函数的功能,定义及具体使用技巧,并附带说明了addslashes()与addcslashes()函数的区别,需要的朋友可以参考下
关于sql注入你不得不知道的那些事
qq_42551635的博客
08-27 921
关于SQL注入你不得不知道的那些事 任务目标:通过手动注入尝试,了解注入的整个过程 任务要求: 1、手工测试之前搭建的不同注入环境,并记录 sql 语句,最终以获取 mysql 中的用户信息和当前表的信息为目标 2、思考通过注入漏洞可以做什么? 3、思考注入漏洞如何防御?代码、服务器等角度 扩展学习: 1、针对不同的注入漏洞,编写防御代码,具体如何防御自己决定(相关代码均记录在报告中) 2、测试自己的防御代码是否可以绕过,并将过程进行记录 前言:什么是sql 注入 在Web应用的开发过程中,为了快.
PHP中addslashes()和stripslashes()实现字符串转义和还原
qq422431474的博客
08-15 644
PHP中addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(') 双引号(") 反斜杠(\) NULL stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。 用法示例如下: ";//输出字符串$str echo $astr=addslashes($str);//字符串转义并输出 ech
php操作mysql防止sql注入
chuaiyuan6611的博客
06-02 367
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的防注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1296
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
mysql注入 php_PHP防止SQL注入方法详解
weixin_36234738的博客
01-18 201
这篇文章主要介绍了PHP防止SQL注入方法详解,需要的朋友可以参考下问题描述:如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsa...
如何在PHP防止SQL注入
热门推荐
请叫我搞向
08-17 2万+
如何在PHP防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致S
DVWA学习
个人博客
08-10 278
DVWA-SQL注入/low <?php if(isset($_GET['Submit'])) { // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' )
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值