php防sql注入和xss攻击

最新推荐文章于 2021-04-01 17:08:01 发布
最新推荐文章于 2021-04-01 17:08:01 发布
阅读量417 收藏 2
点赞数
分类专栏: 安全 文章标签: php sql注入 xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30617175/article/details/71211397
版权 
mysql_escape_string  //防sql注入和XSS攻击通用
正则验证必不可少
防XSS攻击
//htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

测试代码:<script>alert('哈哈')</script>
$new_name=htmlspecialchars($name); //把< >号转义,展示的时候跟填写的一模一样
$new_name=htmlentities($name); //暂时看起来跟htmlspecialchars的效果一样
$new_name=htmlentities($name,ENT_COMPAT,"GB2312"); //防止中文乱码。。但是我测试的时候没有乱码
$new_name=strip_tags($name); //把js标签直接剥离,展示的时候没有js标签了

防sql注入
sql攻击实例:
比如在一个登录界面,要求输入用户名和密码:
可以这样输入实现免帐号登录:
用户名: ‘or 1 = 1 –或者' or 1=1 #
密 码:
点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)
addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:mysql_real_escape_string 考虑到连接的
当前字符集,而mysql_escape_string 不考虑。
总结一下:
* addslashes() 是强行加\;
* mysql_real_escape_string()  会判断字符集,但是对PHP版本有要求;
* mysql_escape_string不考虑连接的当前字符集。

如果想用mysql_real_escape_string,还得手动连库
mysql_connect('127.0.0.1','root','root');
mysql_select_db('test1');
mysql_query('set names utf8');
$lastname=  mysql_real_escape_string( $lastname );
寒夜烬墨笺
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpxss攻击以及sql注入
abchuangyoucheng的博客
07-27 416
phpxss攻击以及sql注入 1、核心函数 /** sql注入已经xxs攻击 */ function SafeFilter (&$arr) { $ra=array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/appl...
PHP实现表单提交数据的验证处理功能【SQL注入XSS攻击等】
10-19
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入XSS(跨站脚本)攻击。SQL注入允许攻击者通过输入恶意SQL代码来操纵数据库,而XSS攻击则可能窃取用户数据或执行恶意脚本。以下将...
PHPSQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:phpSQL注入的最佳解决方法php
PHPSQL注入XSS攻击
听海Movie的专栏
09-15 6520
PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤, 这样可以Xss,注意中文要写出htmlentities($name, ENT_NOQUOTES, GB2312)    mysql_real_escape_string()  所以SQL语句如果有类似这样的写法: “select * from cdr where src =”.$u
php 代码安全sql注入xss攻击
qq_30923243的博客
02-22 1781
htmlspecialchars 处理输出的变量,可xss攻击 htmlspecialchars() addslashes addslashes 向字符串中预定义字符添加反斜杠 处理拼接到SQL语句上的字符串,可止存在特殊字符SQL语句报错。 sql注入。 (还有说mysql_real_escape_string 也可以的,还没试) other 还可以对用户输入的信息强制转换类型 ...
整理php注入和XSS攻击通用过滤
12-19
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的...
开发代码安全规范SQL注入XSS跨站攻击代码编写规范样本.doc
最新发布
08-04
开发代码安全规范SQL注入XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了SQL注入XSS跨站...
PHPSQL注入攻击和XSS攻击
weixin_30716141的博客
05-17 138
代码如下: /** * SQL注入XSS攻击 * @param $arr */ function SafeFilter (&$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/',...
php 止跨站脚本攻击,phpsql注入以及xss跨站脚本攻击
weixin_32760125的博客
03-09 189
1.post数据封装转义函数 sql注入 eag:addslashes($username);​addslashes($password);​eag:sql注入函数封装function deepslashes($data){#判断$data的表现形式 并且需要处理空的情况if(empty($data)){return($data);}​#高级简写 return is_array($data...
PHP XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
php御sql和xss的框架,分享一个php火墙,拦截SQL注入xss
weixin_39668571的博客
04-01 226
这个是一个基于php火墙程序,拦截sql注入xss攻击,无需服务器支持为什么需要这样一个火墙呢?因为很多现在很多服务器并没有开启网站火墙,开发者的水平有高有低,安装composer require xielei/waf使用说明$waf = new \Xielei\Waf\Waf();$waf->run();通常请在用户端页面引入该火墙,后端操作不必。自定义拦截规则$rules =...
PHPSQL注入和网络攻击,phpxss攻击sql注入详解_PHP教程
weixin_35193765的博客
03-20 154
本文章简单的讲述了关于在phpxss攻击sql注入详解,有需了解的朋友可以参考一下下。XSS攻击代码如下复制代码任意执行代码文件包含以及CSRF.}关于SQL攻击有很多文章还有各种注入脚本,但是都不能解决SQL注入的根本问题见代码:代码如下复制代码很简单的一段代码,功能是用于检测用户名或密码是否正确,可是在一些恶意攻击者中提交一些敏感代码.后果可想而知.. post判断注入的方式有2种。1...
php 注入sql和xss,PHPXSS SQL注入的代码
weixin_30798713的博客
03-12 171
如何实现php的安全最大化?怎样避免sql注入漏洞和x使用php安全模式 服务器要做好管理,账号权限是否合理。 假定所有用户的输入都是“恶意”的,XSS攻击,譬如:对用户的输入输出做好必要的过滤 止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效止跨站请分享伪造。tp5怎么sql注入 xss跨站脚本攻击最有效的方法是使用参数化查询就能避免sql注入了,止跨站的话可以使用...
Php XSS CSRF 攻击与 SQL 注入
潘广宇的博客
03-10 1745
一、XSS 攻击预手段: 1)cookie设置为httponly 2)对html标签、特殊字符进行过滤 3)使用strip_tags\ htmlspecialchars 把html实体转化为字符 二、CSRF 攻击预手段: 1)通过 referer、token 或者 验证码 来检测用户提交。 2)尽量不要在页面的链接中暴露用户隐私信息。 3)对于用户修改删除等操作最好都使用post 操...
PHPXSS攻击SQL注入
qq_26486949的博客
08-02 229
function SafeFilter (&$arr){ $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/a...
PHPSQL注入攻击,和XSS攻击的两个简单方式
weixin_30530339的博客
04-14 83
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以Xss,注意中文要...
php角度分析预xssSql注入
weixin_38597669的博客
05-08 708
本文从php角度分析如何预xssSql注入Xss形式和Sql注入形式
PHP中怎样避免SQL注入漏洞和XSS跨站脚本攻击漏洞
weixin_41380972的博客
12-29 2047
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。 SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
phpsql注入xss攻击
06-01
SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值