防止sql语句编写注入攻击

最新推荐文章于 2021-03-10 10:47:58 发布
最新推荐文章于 2021-03-10 10:47:58 发布
阅读量632 收藏
点赞数
分类专栏: PHP初学笔记 文章标签: 后台攻击 sql攻击 函数 addslashes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pan_xi_yi/article/details/49281881
版权

通常简单的有直接在登陆处写用户名为 ‘ or 1=1 #来登陆,密码随便填写,如果没有防范,就直接登陆了,防止方法,两个函数,
一、addslashes(string)string 必须,规定要转义的字符串
addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号(’)
双引号(”)
反斜杠(\)
NULL
该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。
注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
二、mysql_real_escape_string(string,connection) string 必需。规定要转义的字符串,connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。函数转义 SQL 语句中使用的字符串中的特殊字符 。
下列字符受影响:
\x00
\n
\r
\


\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
举例1

try3.php

<!DOCTYPE html>
<html lang="en-us">
<head>
    <meta http-equiv="content-type" content="text/html;charset=utf8">
    <title>-_-</title>
</head>
 <body>
    <form action="try4.php" method="post" enctype="multipart/form-data">
    用户名: <input type="text" name="name"><br><br>
    密码: <input type="password" name="pwd">
    <input type="submit" value="提交">
    </form>
    </body>
</html>

try4.php

<?php
$link=mysql_connect("localhost","root","pxy") or die(mysql_error());
mysql_select_db("test") or die(mysql_error());
mysql_query("charset=utf8");
var_dump($_POST);
$arr=$_POST;
$sql="select * from users where name='{$arr['name']}'' and pwd='{$arr['pwd']}'";
echo $sql;
$res=mysql_query($sql) or die(mysql_error());
if($res)
{
    echo "登陆成功";
}
else
{
    echo "登陆失败";
}

用户名 输入 ‘ or 1=1 #,密码输入12;结果,登陆成功,
输出sql语句和结果:select * from users where name=” or 1=1 #” and pwd=’12’登陆成功
将$arr[‘name’]=addslashes($arr[‘name’]);
sql语句:select * from users where name=’\’ or 1=1 #” and pwd=’12’;
结果,登陆失败,
由此,可知,addslashes()函数可以防止一定的sql语句攻击,原理就是通过对一些字符转义,另外一个函数用法相似。网站安全防范,仍然有待提高。

又起风了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止SQL注入攻击
MeAmI的专栏
04-12 695
SQL注入攻击的危害性很大,在讲解其防止方法之前,数据库管理员有必要想了解一下其攻击的原理,这有利于管理员采取有针对性的防治措施。     一、SQL注入攻击的简单示例     statement:="select * from users where value="+a_variable+"     上面这条语句是很普通的一条sql语句,主要实现的功能就是让用户输入一个员工编号然后查询这个
PHP SQL 注入攻击的技术实现以及预防办法
shrimpma的专栏
04-28 407
 最近在折腾 PHP + MYSQL 的编程。了解了一些 PHP SQL 注入攻击的知识,于是写了这篇文章 http://www.xiaohui.com/weekly/20070314.htm,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因:  1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 o
Mysql注入经验浅谈
qq_43665434的博客
03-10 255
Mysql注入经验浅谈 一、注入准备与攻击步骤 1、确认注入攻击的目标网站 2、目标网站一般信息的收集、分析与提取 3、网站技术分析:寻找和测试可用注入点,网页输入输出机制分析 4、探子回报:注入SQL确定数据库类型,当前账户权限级别 5、提权分析:根据用户级别确定是否可以与系统层交互提权,是否可以与数据库层交互提权,是否可以获取web后台管理员权限的可能性。 6、网站可用SQL注入类型测试,盲注?显注? 7、盲注策略:使用注入分析工具替代人工 ​ 显注策略:第三者上位 一般信息的收集、分析与提取
浅析JSP入侵中的SQL注入之1'or'1'='1
weixin_30909575的博客
12-06 449
浅析JSP入侵中的SQL注入之1'or'1'='1 http://www.176ku.com/wenzhai/ruqin/200905/10630.html 作者:佚名文章来源:网络点击数: 133更新时间:2009-5-24 BY:黑色之恋 【B.H.S.T】浅析JSP入侵中的SQL注入之1'or'1'='1我们在入侵ASP站的时候,会遇到很多由于代码过...
万能密码:‘or 1=1-- 实战SQL注入,秒破后台
杨明金的博客
10-24 3万+
主要是没有对登录密码的字符串进行参数化和过滤,所以导致网站可以直接用“万能密码”进行突破登录 仅供学习交流 这是某同学做的网站,今天无聊打开了,并帮他进行测试一下 看到这个后台,感觉做的还是不错的,首先SQL注入一般这种“万能密码”在99%的网站都是没有用的了,因为几乎所有发布到网络上的网站都是有进行安全考虑的,像这种学生的学术作品的话,一般不会考虑那么多,所以直接使用万能密码进行登录后台 万能密码:'or 1=1-- 用户名随便输入,密码填写这个,输入验证码,ok,大功告成 直接就.
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql...若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击
SQLInner防止SQL注入攻击源码
最新发布
04-10
4. **转义特殊字符**:在某些情况下,SQLInner可能采用转义特殊字符的方法,比如将单引号`'`转义为`\'`,防止它们被解释为SQL语句的一部分。 5. **最小权限原则**:SQLInner可能还涉及到数据库连接的权限管理,确保...
sql语句中用问号代替参数
08-02
1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...
如何防止sql注入
12-14
框架如Hibernate、MyBatis等可以自动处理SQL语句的构建,它们通常提供了内置的防护机制,减少了手动编写SQL语句时出错的机会。 8. **Web应用防火墙(WAF)** 部署Web应用防火墙可以帮助检测并阻止SQL注入攻击。...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
ASP程序安全-如何防止sql注入
wangmj518的专栏
04-15 896
在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP的注入攻击。那么我们先来了解一下这些工具是怎样注入的。 J V J Z.];X A @ A0首先,入侵者会对一个网站确定可不可以进行注入,假设一篇
防止sql注入方法 如何防止java中将MySQL的数据库验证密码加上 ' or '1'= '1 就可以出现万能密码 的PreparedStatement...
weixin_34054931的博客
09-21 172
package com.swift; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class Login...
asp.net 防止 sql注入
weixin_30699463的博客
08-03 131
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难防,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
SQL万能密码:' or 1='1
热门推荐
friendan的专栏
08-15 6万+
select name,pass from tbAdmin where name='admin' and pass='123456' 输入用户名:' or 1='1 SQL变成下面这个样子: select name,pass from tbAdmin where name='' or 1='1' and pass='123456' 1='1' 永远为真,所以
' or '1'='1'等漏洞问题
桦少's blog
01-31 4813
漏洞描述: 在login.asp中,接收用户输入的Userid和Password数据,并分别赋值给user和pwd,然后再用sql="select * from admin where username="&user&" and password="&pwd&"" 这句来对用户名和密码加以验证。  以常理来考虑的话,这是个很完整的程序了。而在实际的使用过程中,整套程序也的确可能正常使用。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6458
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防止SQL注入攻击的方法
03-29
这些特殊字符在SQL语句中具有特殊含义,可能会导致SQL注入攻击。 5. 使用ORM框架:ORM框架可以将Java对象映射到数据库表中,从而避免了手动编写SQL语句的风险。ORM框架通常会自动处理参数化查询和输入验证等问题。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值