防止SQL注入以及mysqli的预处理

最新推荐文章于 2023-09-19 18:00:50 发布
最新推荐文章于 2023-09-19 18:00:50 发布
阅读量1.8k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43671593/article/details/84861048
版权

当应用程序使用输入内容来构造SQL语句访问数据库时,会发生SQL注入攻击。下面就来介绍一下防止SQL注入的方法。
1.对用户的输入进行验证,可以通过正则表达式,或者限制长度,对单引号等进行转换。
2.永远不要使用动态拼装SQL。可以使用参数化的SQL或者直接使用存储过程进行数据查询和存储
例:insert into user(name,password,email) values(?,?,?)
3.永远不要使用管理权限连接数据库,为每个应用使用单独的权限,有限的连接数据库
4.不要把机密信息直接存放,加密或者hash掉密码和用户的敏感信息
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
6.检测SQL注入的方法一般采用辅助软件或网站平台来检测。

mysqli的预处理
在mysqli操作中常常会涉及到他的三个类:mysqli类,mysql_stmt类,mysqli_result类。预处理主要是利用mysql_stmt类完成。预处理是一种重要的防止SQL注入的手段。
工作原理

  • 创建SQL语句模板并发送到数据库,预留的值使用参数?标记
    -insert into user(name,password,email) values(?,?,?)

  • 数据库解析,编译,对SQL语句模板执行查询优化,并储存过程不输出

  • 将应用绑定的值传递给参数?,数据库执行语句

  • bind_param()//该函数绑定了SQL的参数,且告诉数据库参数的值 i--integer s--string d--double b--blob 每个参数都必须指定类型

吃不胖的仙女*
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
01-20
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下: 我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有...
MySQL的SQL预编译及防SQL注入
最新发布
qq_29750559的博客
11-13 1270
本文主要介绍mysql预编译原理、作用以及它是如何防止sql注入
mysql 预防sql注入的方式
czq159951的博客
08-24 1196
正常SQL语句: select * from users where name='zhangsan' and password=md5('12345678') 不正常执行的sql语句: 用户名:’ or 1 # select * from users where name='' or 1 #' and password=md5('789789') 用户名:’ or 1 or ’ select * from users where name='' or 1 or '' and password=md5('
php学习笔记(二十)mysqli的stmt的预处理类的使用防止sql注入问题)
管子(zero)的杂乱空间
12-17 409
<?php /** * 处理数据库的扩展库 * * mysqli预处理语句 * mysqli_stmt预处理类(推荐使用的类) * 优点:(mysqlimysqli_result类的相比) * 1.性能:mysqli_stmt高(执行多条类型相同不同数据的sql,不用多次编译sql...
mysql预编译防止注入_预处理防止sql注入的一种方式)
weixin_36480576的博客
02-02 1005
/*防止 sql 注入的两种方式:1. 人为提高代码的逻辑性,使其变得更严谨,滴水不漏。 比如说 增加判断条件,增加输入过滤等,但是智者千虑必有一失。(不推荐)2. sql 语句的预处理*/// 预处理: 就是在程序正式编译之前,事先处理,因为有些功能实现是一样的,只是发生了一些简单的值替换/*********** 预处理的原理: *********insert into register_i...
sql注入+(mysqli预编译+PDO预编译)之登录/注册。
qq_58378409的博客
05-07 1169
他自认聪明伶俐,却被诡计多端贼人注入所害,家人弃他,师门笑他,甚至断送仕途一生穷困潦倒,重来一世,他一定要学会-预编译。 何为SQL注入SQL注入就是攻击者通过将SQL命令插入到Web表单内容提交将事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,最终达到欺骗服务器执行恶意的SQL命令,从而进一步得到相应的数据信息。 何为预编译? 预编译是做些代码文本的替换工作,是整个编译过程的最先做的工作,当使用预编...
mysqli预处理编译的深入理解
01-19
记得以前php点点通也写过mysqli预处理的php教程,那候只是看书乱写的,没懂原理,数月过后,突然明白了很多: 想想看。...mysqli还能防止sql注入攻击! 看看下面这个预编译代码: 代码如下: <?
php+mysqli预处理技术实现添加、修改及删除多条数据的方法
10-24
主要介绍了php+mysqli预处理技术实现添加、修改及删除多条数据的方法,实例分析了mysqli实现预处理的原理及使用技巧,可有效提高程序运行效率,非常具有实用价值,需要的朋友可以参考下
php mysql预处理_采用PHP预处理防御SQL注入
weixin_36278817的博客
01-28 381
前言当我们需要编写一个根据用户输入进行查询反馈的网页,首先是如何构建一个能够满足用户查询要求的SQL语句;其次,则需要考虑如何防御SQL注入。如何防御SQL注入关系到整个数据库,乃至服务器的安全,所以是一个不用忽视的问题,也是这篇文章所要论述的重点。文章接下来的讲述将会以PHP + MySQL的组合进行举例说明。利用字符串构造SQL语句很多同学在初次编写调用数据库相关的程序,第一直觉采用的就是...
phpmysqli防注入攻略
我点评的博客
08-01 278
为了防止SQL注入攻击,我们可以使用mysqli的prepare语句、mysqli_real_escape_string函数以及正确的数据类型等方法。在使用mysqli_real_escape_string函数,我们需要需要转义的字符串作为第一个参数传入函数mysqli是PHP与MySQL交互的扩展,它提供了一种有效的防止SQL注入攻击的方法。mysqli_real_escape_string函数是mysqli扩展一个非常重要的函数,它可以将特殊字符转义,从而避免SQL注入攻击。
【网络安全---sql注入(1)】你知道什么是SQL注入吗?知道如何通过SQL注入来控制目标服务器吗?一篇文章教你sql注入漏洞的原理及方法
m0_67844671的博客
09-19 753
SQL注入漏洞详解。包括原理,分类比如数字型,字符型,搜索型,xx型,宽字节注入,报错注入,盲注,有无回显等,各种注入payload以及产生原因等等
【Mysql优化安全】防止sql注入
weixin_44823875的博客
05-20 5819
【Mysql安全】防止sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到防止sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)防范sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
详细|通过mysql学习sql注入
st3pby的博客
06-08 784
本文来自 【网络安全学习圈】圈内师傅的学习成果,已将其入圈费用返还,如果你也想一块学习,欢迎加入。圈内规划了数个月的学习内容,并提供相应的学习资源和建议,以及一个浓厚的学习氛围。
mysql如何防止sql注入_如何进行防SQL注入
weixin_42352981的博客
02-02 2504
1、过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。2、在PHP配置文件Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。比如:接收POST表单的值使用$_POST['user'],如果将register_globals=on;直接使用$...
在PHP使用 mysqli 并防SQL注入
热门推荐
perthblank
01-28 1万+
自从 php5 推出 mysqli 后就开始不提倡使用 mysql_ 开头的接口了,现在使用 mysql_connet 通常调试的候会报警告说这个不该用 mysqli 使用起来其实更简单 $url = "localhost"; $usr = "root"; $paw = "123"; $database = "mdb"; //$link = 0; $link = mysqli_co
php使用mysql预处理语句防止sql注入 简单讲解及代码实现
AKGWSB 's blog
07-29 2591
前言 最近在做一个小项目的后台,牵扯到登录等等需要操作数据库的地方,为了安全起见,特地来记录一下。 sql注入是一个非常常见的漏洞,可能会带来严重的后果,sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。 sql注入简单介绍 sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。初次听起来很抽象,什么是改写语义呢?我们来举一个简单的例子 总所周知lol里面有一个位置叫做【辅助】,我们有如下语句: 我最喜欢
mysqliSQL注入(代码方面)
zztIsGood的博客
07-14 2136
mysqliSQL注入(代码方面)$link = mysqli_connect($url,$usr,$paw,$database) or die("Error " . mysqli_error($link)); 1、一般sql: (可以用mysql_real_escapec处理字符串避免mysql注入) $link->query("sql");2、规范写法: (这里的对象方式
mysql预编译防止注入,关于使用预处理防止sql注入的问题。
weixin_29117805的博客
03-24 115
header("Content-type:text/html charset=utf8");$mysqli=new mysqli('localhost','root','***','test');if($mysqli->connect_errno){die("Connect Error:".$mysqli->connect_error);}$mysqli->set_charset...
mysqli预处理增删改查
06-01
使用MySQLi进行增删改查,建议使用预处理语句来保护应用程序免受SQL注入攻击。以下是使用MySQLi预处理语句的示例: 1. 连接数据库 ```php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; // 创建连接 $conn = mysqli_connect($servername, $username, $password, $dbname); // 检测连接 if (!$conn) { die("Connection failed: " . mysqli_connect_error()); } ``` 2. 执行查询 ```php // 准备SQL语句和绑定参数 $stmt = $conn->prepare("SELECT * FROM myTable WHERE id=?"); $stmt->bind_param("i", $id); // 设置参数并执行查询 $id = 1; $stmt->execute(); // 获取结果集 $result = $stmt->get_result(); // 输出结果 while ($row = $result->fetch_assoc()) { echo "id: " . $row["id"] . " - Name: " . $row["name"] . "<br>"; } ``` 3. 执行插入 ```php // 准备SQL语句和绑定参数 $stmt = $conn->prepare("INSERT INTO myTable (name, email, phone) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $name, $email, $phone); // 设置参数并执行插入 $name = "John Doe"; $email = "[email protected]"; $phone = "555-555-5555"; $stmt->execute(); // 输出插入的行数 echo "New records created successfully. Rows inserted: " . mysqli_affected_rows($conn); ``` 4. 执行更新 ```php // 准备SQL语句和绑定参数 $stmt = $conn->prepare("UPDATE myTable SET email=?, phone=? WHERE id=?"); $stmt->bind_param("ssi", $email, $phone, $id); // 设置参数并执行更新 $id = 1; $email = "[email protected]"; $phone = "555-555-5555"; $stmt->execute(); // 输出更新的行数 echo "Records updated successfully. Rows affected: " . mysqli_affected_rows($conn); ``` 5. 执行删除 ```php // 准备SQL语句和绑定参数 $stmt = $conn->prepare("DELETE FROM myTable WHERE id=?"); $stmt->bind_param("i", $id); // 设置参数并执行删除 $id = 1; $stmt->execute(); // 输出删除的行数 echo "Records deleted successfully. Rows affected: " . mysqli_affected_rows($conn); ``` 注意:在使用预处理语句,要注意使用正确的参数类型。在上面的示例,“s”表示字符串类型,“i”表示整型。您可以根据需要更改参数类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值