php防止SQL注入

最新推荐文章于 2022-10-20 09:06:02 发布
最新推荐文章于 2022-10-20 09:06:02 发布
阅读量159 收藏
点赞数 1
分类专栏: 功能 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42805749/article/details/88657586
版权 
//永远不要相信用户的输入,为了防止黑客在我们的表单,GET,header头中输入一些恶意的SQL,为此,我们需要在后台进行执行SQL代码的时候进行对SQL注入的预防

//那么首先来说一下什么是SQL注入
//案例一
http://localhost/cacos/index.php?id=1
select * from goods where id=1
//我们通过GET来进行传递参数,查询数据库中goods表中id=1的数据,这样的查询是非常正常的,来看看我们后台的代码
$id=$_GET['id'] ? $_GET['id'] : "";
if(empty($id)){
	echo "goods‘’s id is not null";
}
//可以看出来,我们在后台是没有对传递过来的参数进行过滤的,所以,黑客往往可以对SQL进行SQL注入,达到恶意攻击的效果
select * from goods where id=-1 OR 1=1
//这个SQL前面部分id=-1是永远不可能存在的,因为ID为一个整形,所以前面的部分返回false,然而后面的1=1这块SQL返回值为true,所以这条SQL的返回永远为true,这样的话,这条SQL将会变为
select * from goods;  //就会查出全表的数据,这样并不是我们想要的结果,那么我们怎么防止用户这样输入呢
//在后台执行SQL前,对传递过来的参数进行校验
is_numeric():判断是否为一个数字
$id=$_GET['id'] ? $_GET['id'] : "";
if(empty($id) || !is_numeric($id) || preg_match("/^[1-9][0-9]*$/",$id)){
	echo "id为空或者不是一个数字或不为正数";
}
//这样校验就会达到防止用户恶意输入的效果


//上面是最基本的SQL注入,SQL注入还可以通过mysql的注释符: #,-- ,来通过截止注释符号后面的SQL语句,一般用来攻击公司后台,用户账号等。
//我们来模拟一个表单
$username=$_GET['username'];
$password=md5($_GET['password']);
if(empty($username) || empty($password)){
	echo "username or password is not null";
}
$sql="select * from user where username={$username} and password={$password}";
//这样的SQL实际上是没有什么问题的,但是在经过处理之后,就会变成
$sql="select * from user where username={$username}# and password={$password}";
//在加了一个#注释符后,SQL语句就不会执行后面对密码的查询,或者是,
$sql="select * from user where username={$username}--  and password={$password}";
//处理的方法为:
//1.使用mysqli_real_escape_string  和 addslashes函数,函数结果相同
$username=addslashes($username); 
$username=mysqli_real_escape_string("数据库",$username);
//对where条件比较靠前的,采用SQL语句转义,输出的结果为
select * from user where username=$username and password='123213213';
//这样运行SQL注入后,SQL就会变为
$sql_carry=select * from user where username='Abel_jiawei'# and password='123213123';
//通过转移符,控制SQL语句
$new_sql=select * from user where username='Abel_jiawei'\'#' and password='123213312';
//2.运用PHP正则表达式匹配
preg_match("/^[a-zA-Z0-9]{6,}$/",$username)  //PHP正则表达式验证
//3.如果用户输入中含有','',",这样的值,使用str_replace函数过滤
str_replace(要过滤的值,改变成什么,对谁)
$username=str_replace(''','',$username);
//这样的话再执行SQL,当用户输入->Abel_jiawei',这样的值也就不会出错了;



//原创文章,请勿转载!!!谢谢!!!
Abel_JiaWei
关注
专栏目录
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
discuz的php防止sql注入函数
10-28
标题《discuz的php防止sql注入函数》中涉及的PHP安全编程知识点包括了PHP安全编码实践以及如何在Web开发过程中防御SQL注入攻击。SQL注入是数据库安全领域中的一种常见攻击手段,攻击者通过构造恶意的SQL代码片段,...
转:PHP防止SQL注入的方法
weixin_34258838的博客
10-08 779
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
php表单提交防注入,php表单提交数据的验证处理(防SQL注入和XSS攻击等)
weixin_35867979的博客
03-10 191
代码实例:
PHPSQL注入
S_ZaiJiangHu的博客
05-12 226
需要注意的 (7) 关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中: expose_php = Off 比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。 (8) 关闭注册全局变量 在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问, 这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭: register_glob
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1337
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php表单提交数据的验证处理(防SQL注入和XSS攻击等)
wml
05-27 7403
代码实例:<?php $user_name = strim($_REQUEST['user_name']);function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 //预定义的字符是: // & (和号)成为 & //
PHP防止SQL注入的方法
tongluren381的博客
10-20 3812
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php防止sql注入的方法
zhoupenghui168的博客
02-24 8479
一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个php Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码 ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或...
php防止SQL注入详解及防范
12-19
PHP是Web开发中常用的脚本语言,因此理解如何在PHP防止SQL注入至关重要。 在PHP中,防止SQL注入的两个关键步骤是: 1. **数据过滤**:对用户输入进行验证和清理,确保输入的数据符合预期的格式。例如,如果你...
php防止sql注入代码实例
10-26
### PHP防止SQL注入的方法与实践 #### 一、引言 在Web开发中,SQL注入是一种常见的安全攻击手段,攻击者通过将恶意SQL代码插入到应用程序的查询语句中,以此来操纵数据库执行非预期的操作。为了提高Web应用的安全...
php操作mysql防止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
php过滤提交数据 防止sql注入攻击无标题笔记
09-30 383
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
PHP API微信网页授权接口实现
Abel_JiaWei的博客
06-01 1860
这两天在网上看到关于微信网页授权的文档,闲着没事就来做做 首先说说需要的材料 1. 一个可访问的域名或IP地址 2.微信公众平台(一定要先去https://mp.weixin.qq.com/debug/cgi-bin/sandboxinfo?action=showinfo&t=sandbox/index里面设置网页授权获取用户基本信息的网页账号) 3.草料二维码制作 首先说明一下,我用的...
php扫码支付源码
Abel_JiaWei的博客
02-26 1847
&lt;?php header('Content-type:text/html; Charset=utf-8'); $mchid = 'xxxxx'; //微信支付商户号 PartnerID 通过微信支付商户资料审核后邮件发送 $appid = 'xxxxx'; //公众号APPID 通过微信支付商户资料审核后邮件发送 $apiKey = 'xxxxx'; //https://pay.w...
CURL基于某个URL请求需要身份验证
Abel_JiaWei的博客
03-14 1778
$url = "http://www.somesite.com/members/"; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 发送用户名和密码 curl_setopt($ch, CURLOPT_USERPWD, "myuser...
laravel实现发送邮件(腾讯企业邮箱)
Abel_JiaWei的博客
05-07 1699
1.首先你的有个服务器向上能跑的 2.其次就是有腾讯企业邮箱的管理员账号 3.好,确保以上都有就行 //修改laravel的.env文件 MAIL_DRIVER=smtp MAIL_HOST=smtp.exmail.qq.com MAIL_PORT=465 MAIL_USERNAME=cacos@cacov.cn MAIL_PASSWORD=密码 MAIL_ENCRYPTION=ssl //然后创...
获取微信临时二维码
Abel_JiaWei的博客
03-22 1563
public function index(){ //获取临时二维码 $access_token=$this->get_wx_access_token(); $url="https://api.weixin.qq.com/cgi-bin/qrcode/create?access_token=".$access_token; $p...
PHP之JWT接口鉴权(二) 自定义错误异常
Abel_JiaWei的博客
04-10 1444
1.定义错误码,在App\Common\Err下创建ApiErrDesc.php <?php namespace App\Common\Err; class ApiErrDesc{ const SUCCESS = [0,'Success']; const UNKNOWN_ERR = [1,'未知错误']; const ERR_URL = [2,'访问的接口不存在']...
php 防止sql注入
最新发布
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值