MySQL防SQL注入

最新推荐文章于 2024-05-01 16:33:46 发布
最新推荐文章于 2024-05-01 16:33:46 发布
阅读量795 收藏 1
点赞数
分类专栏: mysql 文章标签: mysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31424153/article/details/84032649
版权

1,mysql_real_escape_string()函数已经不安全,可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击
2,使用拥有Prepared Statement机制的PDO和MYSQLi来代替mysql_query(注:mysql_query自 PHP 5.5.0 起已废弃,并在将来会被移除)
【注:PreparedStatement使用预编译机制,在创建PreparedStatement对象时就需要将sql语句传入,传入的过程中参数要用?替代,这个过程回导致传入的sql被进行预编译,然后再调用PreparedStatement的setXXX将参数设置上去,由于sql语句已经经过了预编译,再传入特殊值也不会起作用了。
而且PreparedStatement使用了预编译机制,sql语句在执行的过程中效率比Statement要高。】
3,自己定义函数进行验证【正则表达式:(|’|(%27)|;|(%3b)|=|(%3d)|(|(%28)|)|(%29)|(/)|(%2a%2f)|+|(%2b)|<|(%3c)|>|(%3e)|(–)|[|%5b|]|%5d)】
eg:
function safeRequest($ParaName KaTeX parse error: Expected '}', got 'EOF' at end of input: …/ if(ParaType == 1){
KaTeX parse error: Expected group after '^' at position 9: re = "/[^̲\w+]/";
}
else{
$re = "/(|’|(%27)|;|(%3b)|=|(%3d)|(|(%28)|)|(%29)|(/)|(%2a%2f)|+|(%2b)|<|(%3c)|>|(%3e)|(–)|[|%5b|]|%5d)/";
}

      if(preg_match($re , $ParaName)>0){
          echo ("参数不符合要求,请重新输入");
           return 0; 
      }else{
          return 1; 
      }

}

我说人人平等
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql注入方法_止SQL注入的六种方法
weixin_36428079的博客
02-02 5152
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
go mysql sql注入
m0_46426259的博客
12-10 1357
//test.go package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings" ) func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "
mysql如何sql注入
XiWangDeFengChe的博客
01-26 4962
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
sql注入简介
最新发布
记录学习
05-01 682
sql注入原理,分类,及绕过。
php+MySQLsql注入
php-yyds
11-12 471
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效地止了SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
mysqlsql注入的方式
czq159951的博客
08-24 1224
正常SQL语句: select * from users where name='zhangsan' and password=md5('12345678') 不正常执行的sql语句: 用户名:’ or 1 # select * from users where name='' or 1 #' and password=md5('789789') 用户名:’ or 1 or ’ select * from users where name='' or 1 or '' and password=md5('
mysql正则注入_如何SQL注入
weixin_35339134的博客
02-02 514
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
php操作mysqlsql注入(合集)
owenzhang的博客
10-23 1157
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input']; mysqli_query("INSERT IN...
mysql简单注入_mysqlsql注入的方法
weixin_31572175的博客
01-28 1691
mysqlsql注入的方法发布时间:2020-08-25 14:07:29来源:亿速云阅读:98作者:小新这篇文章将为大家详细讲解有关mysqlsql注入的方法,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。SQL Injection攻击具有很大的危害,攻击者可以利用它读取、修改或者删除数据库内的数据,获取数据库中的用户名和密码等敏感信息,甚至可以 获得数...
MySQL 安全及止 SQL 注入攻击
wjq008的专栏
04-27 1682
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
python使用mysqlSQL注入
帅的飞起的博客
04-24 786
python使用mysqlSQL注入
PHP+mysqlSQL注入的方法小结
10-17
主要介绍了PHP+mysqlSQL注入的方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
PHP+MysqlSQL注入源码 下载
01-01
在IT行业中,数据库的安全性是...综上所述,理解SQL注入的原理并掌握止它的方法对于任何使用PHP和MySQL的开发者来说都是至关重要的。在部署任何包含用户输入的项目时,应始终优先考虑安全性,避免遭受SQL注入等攻击。
MySQL 及 SQL 注入
12-16
本章节将为大家介绍如何SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远...
mysql字符串函数:locate()
php菜鸟见闻录
11-21 1804
今天做一个模糊查询,一开始使用的是like,但是发现对于特殊字符操作难以处理,查询特殊字符查不到,后来听同事告诉这个函数,天秀 语法 一: LOCATE(substr,str) 返回字符串substr中第一次出现子字符串的位置 str。 语法二: LOCATE(substr,str,pos) 返回字符串substr中第一个出现子 字符串的 str位置,从位置开始 pos。0 如果substr不在,...
MySQL触发器
php菜鸟见闻录
11-14 1186
创建语法:create trigger trigger_name trigger_time trigger_event on tbl_name for each row trigger_stmt; 【注:触发器只能创建在永久表上,不能对临时表创建触发器】 trigger_time: after:是先完成数据的增删改,然后再触发,触发的语句晚于监视的增删改,无法影响前面的增删改动作;也就是说先插入订...
MySQL分区
php菜鸟见闻录
11-15 941
MySQL分区优点: 1,和单个磁盘或者文件系统分区相比,可以存储更多数据 2,优化查询。在where子句中包含分区条件时,可以只扫描必要的一个或者多个分区来提高查询效率;同时涉及sum()和count()这类聚合查询时,可以容易的在每个分区上并行处理,最终只需要汇总所有分区得到的结果 3,对于已经过期或者不需要保存的数据,可以通过删除与这些数据有关的分区来快速删除数据 4,跨多个磁盘来分散数据查...
error: ext/mysqlnd/mysql_float_to_double.h: No such file or directory
php菜鸟见闻录
11-13 793
报错: 在安装mysqli的时候,出现error: ext/mysqlnd/mysql_float_to_double.h: No such file or directory 解答: pwd /usr/local/src/php-7.1.15/ext/mysqli vim mysqli_api.c 把第36行的 #include “ext/mysqlnd/mysql_float_to_doubl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值