PHP中的SQL注入和防御

最新推荐文章于 2024-08-22 10:09:18 发布
置顶 最新推荐文章于 2024-08-22 10:09:18 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38638495/article/details/80202879
版权
什么是SQL注入 ?
程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。

攻击者可以提交一段精心构造的数据库查询代码,根据返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

受影响的系统:对输入的参数不进行检查和过滤的系统。

来看下我自己编写的PHP一个登录的界面 完全没有过滤的


看这段代码对用户输入的数据完全没有过滤 就直接进入数据库查询了


这里密码是随意输入的 就直接绕过了限制


登录成功

这句代码在数据库里面是这样的


就直接查询出来了所有的数据 因为or 1=1永远是真,所以条件会成立。就会输出所有的数据

防御方法的话我是直接过滤的 不废话看代码!


用了这几个函数来过滤,addslashes是过滤字符串特殊符号知之前加了一个反斜杠 

这样的话 我刚才那样构造payload不能成功了

mysql_real_escape_string是对字符串中的'"\ \r \n 字符进行转义

我也不知道这样函数的用法对不对.请大家有啥意见多多指出.

小弟第一次写文章,大佬们多多指教.微笑

qq_38638495
关注
专栏目录
php防止SQL注入详解及防范
10-26
SQL 注入是PHP应用最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞
PHP防止SQL注入实现代码
10-28
PHP开发SQL注入是一种常见的...总之,防止SQL注入PHP开发的核心任务,需要结合多种方法和技术来确保数据安全。通过使用预处理语句、限制数据库权限、输入验证和妥善处理错误,可以有效地降低SQL注入的风险。
PHP 安全:如何防止PHPSQL注入?_php 防止sql注入
最新发布
heike_Ch的博客
08-22 1216
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
PHP防御sql注入攻击的方式
diyi6539的博客
07-25 284
长期以来,web的安全性存在着巨大的争议与挑战。其sql注入就是一种常见的一种攻击方法,开发人员普遍的做法就是不停的过滤,转义参数,可是我们php大法天生弱类型的机制,总是让黑客有机可乘,绕过防御防御总是在明争暗斗。 兄弟连(www.itxdl.cn)PHP大牛说过一句话,在一个程序,60%的代码都应该是在进行各种防御。 其实,现在来看,防御sql注入其实并不需要...
php sql注入防御方法,php怎么防御sql注入
weixin_35626107的博客
03-19 234
( 2010 ) 04 - 0057 - 2 SQL 注入攻击及防御策略杨 晶高戈 赵小刚摘 要: 针对目前流行的 SQL 注入攻击, 程序开发人员以及系统管理员需要了解并制定相应的......针对目前流行的SQL注入攻击,程序开发人员以及系统管理员需要了解并制定相应的预防及应对策略。确保服务器端数据信息的安全。试围绕SQL攻击的特点及如何防御进行描述。...SQL 注入攻击分析与防御 第1章 ...
关于php_与_sql注入大全
低调走过
05-08 1033
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。  SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查
基于PHP的web应用SQL注入防御措施.pdf
09-19
本文主要探讨了基于PHP的web应用SQL注入攻击和防御措施。SQL注入攻击是一种常见的网络攻击方式,通过在用户输入数据注入恶意SQL代码,攻击者可以访问和控制数据库服务器,导致敏感信息泄露。 在本文,我们...
PHP网站设计SQL注入的安全防御.pdf
09-19
3. PHP 网站设计的 SQL 注入防御:讨论在 PHP 网站设计如何防御 SQL 注入,包括使用prepared statements、参数化查询、输入验证等。 通过本文的讨论,我们可以了解 SQL 注入的原理和危害,并掌握防御 SQL 注入...
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践...
php防止SQL注入的最好方法是什么?
hil2000的专栏
10-04 9239
如果用户输入的是直接插入到一个SQL语句的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE“); DROP
SQL注入php代码
08-24
SQL注入php,通用防注入类
PHP防注入文件
10-13
来自阿里云的PHP安全防护 1.将waf.php传到要包含的文件的目录 2.在页面加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件,如数据库链接文件config.inc.php! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码php.ini找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
SQL注入与安全防护---以PHP为例
weixin_33810302的博客
04-23 105
一、什么是sql注入:   简单来说,当我们从前端的用户表单数据往后台数据库传输时,可能用户表单数据的某些数据,会跟我们的后台发生“有机”反应,从而导致发生一些数据库的异常操作。 举个例子吧,以简单的用户登录注册来说。前端传递过来的字符串是。$usename=$_POST['usename],$password=$_POST['password']. 当我们构造sql语句时,我们采用的语句...
phpsql注入
weixin_34290000的博客
12-03 95
PHP简单实现防止SQL注入的方法,结合实例形式分析了PHP防止SQL注入的常用操作技巧与注意事项,PHP源码备有详尽注释便于理解,需要的朋友可以参考下! 方法一:execute代入参数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25...
PHP 安全:如何防止PHPSQL注入
新华编程特战队
04-23 2634
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
PHP预防SQL注入
lvfl的博客
08-31 362
PHP预防SQL注入的三种方式 一,检验数据类型 1.数字类型 is_numeric() 函数 2.字符串类型(强校验) preg_match(“/^[a-zA-Z0-9]{6,}$/”,变量) 二,过滤和转义特殊字符 addslashes()对特定字符进行转义 mysqli_real_escape_string()对特定字符进行转义 三,利用mysql的预编译机制 $stmt...
PHP漏洞全解(五)-SQL注入攻击
老鹰之歌的学习笔记
09-21 1663
本文主要介绍针对PHP网站的SQL注入攻击。所谓的SQL注入攻击,即一部分程序员在编写代码的时候,没有用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。 SQL注入攻击(SQL Injection),是攻击者在表单提交精心构造的sql语句,改动原来的sql语句,如果web程序没有对提交
SQL注入攻击详解与防御策略
这个问题在网站开发尤其常见,因为不安全的编程习惯和对SQL注入防护的忽视可能导致严重的数据泄露。 首先,我们需要理解SQL注入的基本原理。当用户通过网页表单输入数据,这些数据会被直接拼接到SQL查询语句。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值