PHP SQL防注入

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量4.3k 收藏 16
点赞数 2
分类专栏: PHP MYSQL 文章标签: PHP sql防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41654694/article/details/85785333
版权
PHP 同时被 2 个专栏收录
16 篇文章 0 订阅
订阅专栏
MYSQL
2 篇文章 0 订阅
订阅专栏

参考资料:

PHP中防止SQL注入的方法
php操作mysql防止sql注入(合集)
PDO防注入原理分析以及使用PDO的注意事项
php SQL 防注入的一些经验
如何在PHP中防止SQL注入?
PHP安全编程:防止SQL注入
addslashes与mysql_real_escape_string的区别
How can I prevent SQL injection in PHP?

什么是SQL注入?

Sql注入,是通过程序员编程时的疏忽,经过查找sql注入的位置、判断服务器类型和后台数据类型、针对不同类型的服务器以及数据库进行攻击,实现无账号登录,甚至篡改数据库。

解决方法

1.魔术函数 addslashes

Addslashes()是与stripslashes()是功能相反的函数。
Addslashes()用于给变量中的’ ” 与null添加反斜杠\,用于避免传入sql语句的参数格式错误,同时如果有人注入子查询,通过加可以将参数解释为内容,而非执行语句,避免被mysql执行。
Addslashes()只在PHP中执行,\是不会写入mysql中的。
当 PHP 指令 magic_quotes_sybase 被设置成 on 时,意味着开启addslashes()。
在PHP5.4.0版本之前,magic_quotes_sybase 默认开启。
可以通过函数get_magic_quotes_gpc()判断magic_quotes_gpc是否开启。

if (!get_magic_quotes_gpc()) {
		$lastname = addslashes($_POST[‘lastname’]);
	} else {
		$lastname = $_POST[‘lastname’];
	}

但是addslashes()并不会检测字符集,比如如果是gbk编码,可能会将某些字符解释成两个ASCII字节,造成新的注入风险。Utf没有这个问题。

2.mysql_real_escape_string

mysql_real_escape_string()与addslashes()相比,不仅会将’ " NOL(ascii的0)转义,还会把r n进行转义。同时会检测数据编码。
mysql_real_escape_string()使用时需要进行数据库的连接,因为要获取数据库的字符集,如果当前不存在连接,会使用上一次连接。
这个函数在PHP5.5.0不被推荐使用,PHP7.0被废弃

3.预处理 (Prepared Statements) ---- mysqli:prepare()

Mysqli的参数化绑定

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
$stmt->bind_param('sssd', $code, $language, $official, $percent);

在这里插入图片描述

mysqli=newmysqli("example.com","user","password","database");
stmt = mysqli−>prepare("SELECT id,label FROM test WHERE id=?");
stmt->bind_param(1, city);stmt->execute();
res=stmt->get_result();
row=res->fetch_assoc();

Mysqli预处理查询是将一步查询分作两步操作
A 写sql语句,用?占位,替代sql中的变量
B 替换变量
C 执行SQL语句
D 得到一个二进制结果集,从二进制结果中取出php结果集
E 遍历结果集

4.预处理 (Prepared Statements) ---- PDO

使用PDO参数化绑定
类似于mysqli也是分两步预处理

$pdo = new PDO("mysql:host=192.168.0.1;dbname=test;charset=utf8","root");
$st = $pdo->prepare("select * from info where id =? and name = ?");
 
$id = 21;
$name = 'zhangsan';
$st->bindParam(1,$id);
$st->bindParam(2,$name);
 
$st->execute();
$st->fetchAll();

PHP将sql模板和变量两次发送给mysql,由mysql进行变量的转义处理。
PHP版本不同,有不同的处理方式。
PHP版本小于5.3.6,需要关闭PHP使用本地模拟prepare
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
PHP版本为5.3.6+的,请在在PDO的DSN中指定charset属性
因为PHP5.3.6版本之前,并不支持PDO的DSN charset设定

总结

控制注入主要分三个方面:
1.做参数合法性,特殊字符,长度校验
2.数据库中严格设定参数类型,没必要用字符串类型的,就少用,不得已使用可以控制字符长度;能用int,bool之类的就用此种类型
3.操作SQL采用参数化(parameter)

谁还不是块小饼干
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php7 mysql注入_php如何sql注入
weixin_32123259的博客
02-08 1196
SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。php如何sql注入?1、什么时候最易受到SQL注入攻击当应用...
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 2870
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashesSQL注入,还是建议大家加强中文SQL注入的检查。
phpsql注入的方法
zhoupenghui168的博客
02-24 8401
一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个php Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码 ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或...
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2438
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
PHPSQL注入的方法
tongluren381的博客
10-20 3762
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php中的sql注入
ocean2017的博客
03-17 1376
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
phpsql注入,如何在PHP应用中SQL注入
weixin_35705450的博客
03-10 1655
SQL注入是一个控制数据库查询的技术,往往会导致丧失机密性。在某些情况下,如果成功执行SELECT'phpeval(base64_decode("someBase64EncodedDataHere"));'INTOOUTFILE'/var/www/reverse_shell.php'将导致服务器被攻击者拿下,而代码注入(包括SQL,LDAP,操作系统命令,XPath注入技术)长年保持在OW...
SQL注入攻击讲解及PHPSQL注入攻击的几种方法
wuxiaopengnihao1的博客
08-25 1346
本文章向大家介绍什么是SQL注入攻击,以及在php网站开发中,如何SQL注入攻击。PHPSQL注入攻击有三种常用方法,第一种方法是使用PHP转义字符串mysql_real_escape_string()函数,第二种方法是使用mysqli的prepare语句,第三种方法是使用PDO。
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
php简单实现sql注入的方法
12-18
对于PHP开发者来说,SQL注入是构建安全网站的重要一环。本文将详细讲解如何使用PHP来简单实现SQL注入。 首先,PHP的`addslashes()`函数是SQL注入的基础。这个函数会在指定字符串中的预定义字符前添加反...
php中addslashes函数与sql注入
10-25
主要介绍了php中addslashes函数与sql注入,实例讲述了采用addslashes函数对于sql注入的用处,对于PHP安全程序设计来说具有不错的参考借鉴价值,需要的朋友可以参考下
PHP 根据出生日期计算年龄、生肖、星座
谁还不是一块小饼干的博客
10-23 3742
/** * 根据出生日期计算年龄、生肖、星座 * @param string $mydate = "2018-10-23" 日期 * @param string $symbol 符号 * @return $array * */ function birthday($...
PHP 验证银行卡是否存在,匹配开户行
谁还不是一块小饼干的博客
12-26 3404
项目里有一个验证银行卡的地儿,大量跑测试的时候一直调接口也是有几分没必要,查了下,银行卡都是按照LUHN算法校验的。 开始写了个简单的luhn函数验证 /** * LUHN算法 * @param string $s 待验证的字符串 * @return boolean * */ function luhn($s) { $n = 0; for($i=strlen($s)-1...
PHP SFTP简单上传下载实现
谁还不是一块小饼干的博客
09-28 1850
1 下载ssh2文件 下载地址 http://windows.php.net/downloads/pecl/releases/ssh2/0.12/ 根据自己PHP的版本去下载,其中ts表示线程安全,nts表示不安全。 (可以使用phpinfo()查看需要哪一个,Thread Safety项是enabled表示线程安全) 2 安装ssh2 解压php_ssh2.zip 将 php_ssh.dll、...
PHP+JS+HTML 手机下拉加载分页
谁还不是一块小饼干的博客
10-31 1354
HTML循环页面 can 视图容器参数 dir 传值(自定义) <div class="fhsj"> <ul class="lbt" id="thelist" can=&a
关于cookie的一些坑
谁还不是一块小饼干的博客
05-13 1178
今天一直在cookie的坑里栽着,专门记录一下。 PHP设置cookie首次设置无效 ajax丢失cookie window.location.href跳转时丢失cookie PHP设置cookie首次设置无效 首先还是要先理解一下cookie的处理机制, http://www.cnblogs.com/Mwsoft/p/4940268.html 解决办法,我这边直接简单粗暴的先设置...
360 phpsql注入代码
最新发布
02-05
PHP是一种常用的服务器端脚本语言,用于开发Web应用程序。为了SQL注入攻击,我们可以采取以下措施来保护我们的PHP代码。 1. 使用预处理语句:使用预处理语句可以SQL注入攻击。可以使用PDO(PHP Data Objects)或者MySQLi(MySQL Improved)扩展来执行预处理语句。通过预处理语句,我们可以将SQL查询中的变量参数化,这样就可以止恶意用户通过注入SQL语句来破坏数据库。 2. 输入验证和过滤:对于任何从用户输入中获得的数据,都应该进行验证和过滤。可以使用PHP内置的过滤器函数进行输入验证,例如filter_var()函数。可以使用过滤器检查用户输入是否符合预期的格式,比如邮箱地址、URL等。 3. 使用转义函数:在向数据库中插入用户输入的数据之前,应该使用转义函数对输入数据进行转义处理。可以使用PHP的mysqli_real_escape_string()函数或者PDO的quote()方法来转义用户输入的数据。 4. 使用prepared statements:通过使用prepared statements(预编译语句),我们可以将查询和参数分开处理,从而注入攻击。可以使用PDO或者MySQLi扩展中的预处理语句来实现。 5. 限制数据库用户权限:为数据库用户分配最小必要的权限,避免给用户过多的权限,从而减少数据库被攻击可能性。 总结来说,为了SQL注入攻击,在开发PHP代码时应该始终保持警惕,并使用以上措施来保护数据库的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值