php中的sql防注入

最新推荐文章于 2024-05-21 12:45:25 发布
最新推荐文章于 2024-05-21 12:45:25 发布
阅读量133 收藏
点赞数
文章标签: php sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ocean2017/article/details/131616956
版权

php中的sql防注入

1 addslashes()方法对参数预处理

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符有

  • 单引号(')
  • 双引号(")
  • 反斜杠(\)
  • NULL
存在问题

addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。因此,在使用 addslashes 函数时,可能会出现以下情况:

  • 如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。

  • addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。

  • addslashes 函数并不能防止双重转义问题。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。

2 使用mysqli_real_escape_string()函数转义

$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($conn, $sql);

3 使用参数化查询 (Prepared Statements) 或者绑定参数(Binding Parameters)的方法

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ? AND password = ?');
$stmt->execute([$username, $password]);

为什么预处理和参数化查询可以防止sql注入呢?
在mysql5.1后,提供了类似于jdbc的预处理-参数化查询。它的查询方法是:
a. 先预发送一个sql模板过去
b. 再向mysql发送需要查询的参数
发送的参数会自动过滤用户输入中的特殊字符

羽辰不是逗比
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
php sql注入的简单方法
shewilm的专栏
08-09 2765
您可以使用PHP的功能,如函数stripslashes()和addslashes(),mysql_real_escape_string()等,使安全的SQL查询。 以下是安全的SQL语句,使用PHP mysql_real_escape_string功能: $upassword = mysql_real_escape_string($_POST['upassword']); $sqlquer
PHPsql注入小技巧之sql预处理
luyaran的博客
08-29 3263
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有什么好处: 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 这种预处理呢,可...
PHP的查询处理怎么SQL注入
qq_29701691的博客
03-14 304
对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。PDO 的特性在于驱动程序不支持预处理的时候,PDO 将模拟处理,此时的预处理-参数化查询过程在 PDO 的模拟器完成。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。所以,PDO 模拟器能否正确的转义输入参数,是拦截 SQL 注入的关键。Laravel 的底层实现。
phpsql注入,如何在PHP应用SQL注入
weixin_35705450的博客
03-10 1624
SQL注入是一个控制数据库查询的技术,往往会导致丧失机密性。在某些情况下,如果成功执行SELECT'phpeval(base64_decode("someBase64EncodedDataHere"));'INTOOUTFILE'/var/www/reverse_shell.php'将导致服务器被攻击者拿下,而代码注入(包括SQL,LDAP,操作系统命令,XPath注入技术)长年保持在OW...
基于PHPSQL注入
qq_43535990的博客
11-01 3284
基于PHPSQL注入御一、漏洞页面实例二、分析及御1.php输入验证2.PHP预处理 一、漏洞页面实例 需要用到的知识:PHP语言,Apache Web服务器,MySQL数据库 1.首先打开phpstudy,开启apache web服务和数据库 2.利用Navicat创建数据库(也可以用别的软件创建,在phpstudy里也可以创建,懂mysql命令行的也可以用cmd创建,看自己喜好) 创建数据库名为test,在数据库创建表users,在表插入两个字段name和password,添加若干数据。
phpaddslashes函数与sql注入
10-25
主要介绍了phpaddslashes函数与sql注入,实例讲述了采用addslashes函数对于sql注入的用处,对于PHP安全程序设计来说具有不错的参考借鉴价值,需要的朋友可以参考下
360提供的phpsql注入代码修改类
05-02
从360提供的PHPSQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安全风险的问题,希望对朋友们有所帮助。
php简单实现sql注入的方法
10-22
主要介绍了php简单实现sql注入的方法,涉及addslashes函数的使用及正则过滤的相关技巧,非常简单实用,需要的朋友可以参考下
sql注入——SQL语句预处理(PHP
你好~我叫哆啦A梦~
11-17 854
<?php header("content-type:text/html;charset=utf-8"); //设置编码 include_once "conn.php"; //是否有提交 if ($_POST["title"] and $_POST["content"]){ //获取值 $title=$_POST["title"]; $content=$_POST..
php 预处理 注入,PHPsql注入小技巧之sql预处理原理与实现方法分析
weixin_39561431的博客
03-10 159
本文实例讲述了PHPsql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。我们来看下它有什么好处:预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。预处理语句针对SQL注入是非常有用的,因为参数...
PHP MySQL 预处理语句
T0620514的博客
01-18 408
PHP MySQL 预处理语句
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 733
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集管理,降低配置和维护的工作量。
关于 struct sockaddr_in
weixin_73964834的博客
05-16 657
这个struct sockaddr_in 前三行有三个变量。
如何构建基因单倍型网络
hgz2020的博客
05-18 578
单倍型分析
FebHost:为什么企业需要注册保加利亚.BG域名?
05-16 375
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
【Web】CISCN 2024初赛 题解(全)
最新发布
uuzeray的博客
05-21 618
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
春秋云境CVE-2022-25487
2303_76653367的博客
05-15 310
Atom CMS 2.0版本存在远程代码执行漏洞,该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。
等保测评实体分享three
ddcajdkdl的博客
05-16 925
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
360 phpsql注入代码
02-05
为了SQL注入攻击,我们可以采取以下措施来保护我们的PHP代码。 1. 使用预处理语句:使用预处理语句可以SQL注入攻击。可以使用PDO(PHP Data Objects)或者MySQLi(MySQL Improved)扩展来执行预处理语句。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值