PHP 防止SQL注入漏洞

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量362 收藏 2
点赞数
分类专栏: PHP 文章标签: php sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22183039/article/details/128804530
版权

PHP 防止SQL注入漏洞

开发项目时,不止要考虑项目快速上线,考虑到项目的质量,同时重中之重要考虑到项目的安全性,防止数据泄露,防止数据库被删除,防止数据被篡改等严重的漏洞问题,今天分享一个简单的SQL注入防御,通过在项目入口文件直接引用该类,能防御大部分的表单提交注入的sql语句。涉及到一些特殊的SQL指令,需要自行添加。

代码

<?php
//+----------------------------------------------------------
//+- 防止sql注入攻击
//+----------------------------------------------------------

class XssFilter{

    public static function getIntance(){
        $post  = file_get_contents('php://input');
        if(!empty($post)){
            $_POST = array_merge($_POST, json_decode($post, JSON_UNESCAPED_UNICODE));
        }
        XssFilter::inspection($_GET);
        XssFilter::inspection($_POST);
    }

    /**
     * 字段白名单,提交的表单字段白名单
     * @return array
     */
    private static function blacklist(){
        return array(
            "content"
        );
    }

    //避免SQL漏洞
    private static function inspection(&$requests){
        if(!empty($requests)){
            foreach ($requests as $kk=>&$vv){
                if(is_array($vv)){
                    XssFilter::inspection($vv);
                }else{
                    $kk             = htmlspecialchars($kk, ENT_QUOTES); //过滤键值
                    if(!in_array($kk, XssFilter::blacklist())){
                        if(!XssFilter::is_json($vv)){
                            //判断不是json数据进行处理
                            $str    = XssFilter::filterWords($vv);
                            $str    = XssFilter::clearSQLFilter($str);
                            $str    = filter_var($str, FILTER_SANITIZE_STRING); //字符串过滤
                            $vv     = htmlspecialchars($str, ENT_QUOTES);
                        }
                    }
                }
            }
        }
    }

    //判断是否是json字符串
    private static function is_json($string) {
        json_decode($string);
        return (json_last_error() == JSON_ERROR_NONE);
    }

    //sql过滤
    private static function clearSQLFilter($str){
        $str = str_ireplace("and",      "",$str);
        $str = str_ireplace("execute",  "",$str);
        $str = str_ireplace("update",   "",$str);
        $str = str_ireplace("count",    "",$str);
        $str = str_ireplace("chr",      "",$str);
        $str = str_ireplace("mid",      "",$str);
        $str = str_ireplace("master",   "",$str);
        $str = str_ireplace("truncate", "",$str);
        $str = str_ireplace("char",     "",$str);
        $str = str_ireplace("declare",  "",$str);
        $str = str_ireplace("select",   "",$str);
        $str = str_ireplace("create",   "",$str);
        $str = str_ireplace("delete",   "",$str);
        $str = str_ireplace("insert",   "",$str);
        $str = str_ireplace("'",        "",$str);
        $str = str_ireplace('"',        "",$str);
        $str = str_ireplace(" ",        "",$str);
        $str = str_ireplace("or",       "",$str);
        $str = str_ireplace("=",        "",$str);
        $str = str_ireplace("%20",      "",$str);
        $str = str_ireplace("where",    "",$str);
        $str = str_ireplace("having",   "",$str);
        $str = str_ireplace("union",    "",$str);
        $str = str_ireplace("all",      "",$str);
        return $str;
    }

    /**
     * 正则过滤
     * @param unknown $str
     */
    private static function filterWords($str) {
        $farr   = array(
            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
            "/select|eval|dosomething|addslashes|return_var|command|shell_exec|system|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is",
            "/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i"
        );
        $str    = preg_replace($farr, "" ,$str);
        return $str;
    }
}

XssFilter::getIntance();
尹雪峰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入漏洞演示源代码
09-29
3. **安全的编码实践**:对比展示如何通过预编译的SQL语句(如PHP的PDO或MySQLi的预处理语句)、参数化查询或者使用存储过程来防止SQL注入。 4. **漏洞检测与修复**:可能包含用于检查应用程序是否存在SQL注入漏洞的...
phpsql注入漏洞示例 sql注入漏洞修复
12-18
- **预编译语句与参数绑定**:使用PDO(PHP Data Objects)或MySQLi的预编译语句,可以防止SQL注入。例如,使用PDO的预编译语句: ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :...
PHP面试题11】PHP如何防止SQL注入
黑夜开发者的博客
06-25 1210
SQL注入攻击是一种常见的Web安全漏洞,可以采用多种方法来防止SQL注入攻击。使用PHP的预处理语句和绑定变量可以有效地避免这种攻击。预SQL注入攻击的最佳实践包括验证用户输入数据、禁止拼接字符串、使用filter_input()函数等。
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 778
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
PHP 安全:如何防止PHP中的SQL注入
最新发布
新华编程特战队
04-23 1615
SQL注入护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
php sql注入or方法,php防止sql注入示例分析和几种常见攻击正则表达式
weixin_39785081的博客
03-09 161
这篇文章主要介绍了php防止sql注入漏洞代码和分析,最近提供了几种常见攻击的正则表达式,大家参考使用吧注入漏洞代码和分析function customError($errno, $errstr, $errfile, $errline){echo "Error number: [$errno],error on line $errline in $errfile";die();}set_error...
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
php防止sql注入简单分析
12-19
以下是一些PHP防止SQL注入的基本方法: 1. **预处理语句与绑定参数**: 使用预处理语句(如PDO或mysqli的预处理语句)是防止SQL注入的最佳实践。预处理语句将查询结构与用户输入数据分离,确保即使输入包含恶意SQL...
php防止sql注入代码实例
12-18
PHP编程中,防止SQL注入至关重要,因为不正确的数据处理可能导致数据泄露、数据篡改甚至整个系统的瘫痪。以下是一些关于如何在PHP防止SQL注入的详细解释和实例。 1. **使用预处理语句和参数化查询** PHP提供了...
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
PHP SQL注入漏洞
学无止境
05-20 1074
PHP中采用魔术引号进行过滤,但是PHP5.4之后被取消了,同时在遇到int型注入也不会那么有效,所以用的最多的还是过滤函数和类(例如discuz,dedecms,phpcms),如果单纯的过滤函数写的不严谨,就会出现绕过的情况,最好的解决方法还是预编译的方式。 GPC/runtime魔术引号 数据污染有两种方式,一种是应用被动接受参数,类似于GET,POST等,还有一种是主动获取参数,类似...
php 防止注入 xss,PHP 安全输入输出方式 「防止 XSS 注入」
weixin_35990581的博客
03-11 278
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。我在开发中使用严进严出的安全保障方式:保证安全输入(严进)添加中间件,对所有参数进行过滤转换:htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签class...
PHP防止sql注入小技巧之sql预处理
luyaran的博客
08-29 3293
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有什么好处: 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 这种预处理呢,可...
php mysql sql注入_phpsql注入函数mysql_real_escape_string解析
weixin_28758189的博客
01-28 285
php与mysql的编程中,一般都要接受用户输入的数据,此时必须严格过滤用户的数据,以确保网站的安全。PHP中可以使用 mysql_real_escape_string 函数来过滤非法字符。本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于mysql_query。mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字...
php有关的几种常见安全详解
k9849982的专栏
04-29 370
(1) 打开php的安全模式php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:safe_mode = on(2) 用户组安全当safe_mode打开时,safe_mode_g
PHP用正则匹配字符串中的特殊字符SQL注入
学新通博客
09-12 3959
本文出至:新太潮流网络博客 /** * [用正则匹配字符串中的特殊字符] * @E-mial wuliqiang_aa@163.com * @TIME 2017-04-07 * @WEB http://blog.iinu.com.cn * @param [data] $str [要匹配的任何数据] * @return [type] [description] */ func
PHP中如何防止SQL注入
热门推荐
zHHHe的专栏
08-03 1万+
这是StackOverFlow上一个投票非常多的提问 How to prevent SQL injection in PHP?   我把问题和赞同最多的答题翻译了下来。本人翻译水平很渣,请读者见谅。 提问:如果用户的输入能直接插入到SQL语句中,那么这个应用就易收到SQL注入的攻击,举个例子: $unsafe_variable = $_POST['user_input']; mysqli_q

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尹雪峰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值