【PHP面试题】SQL语句应该考虑哪些安全性?

最新推荐文章于 2024-08-31 18:53:42 发布
最新推荐文章于 2024-08-31 18:53:42 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: PHP面试题 MySQL数据库 文章标签: MySQL安全性 防SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/studyphp123/article/details/83795630
版权
本文探讨了PHP面试中关于SQL安全的考点,包括使用预处理语句防止SQL注入,数据转义和错误信息处理。还强调了PDO和MySQLi相对于MySQL函数库的安全优势,它们支持预处理,有助于提升数据库操作的安全性。
摘要由CSDN通过智能技术生成

文章目录

一、考点

1、SQL查询的安全方案

1)使用预处理语句防SQL注入
DELETE FROM `user` WHERE `id` = 1;

// SQL注入语句
DELETE FROM `user` WHERE `id`=1 or 1=1;

在这里插入图片描述

防止SQL注入:

DELETE FROM `user` WHERE `id`=?;

在这里插入图片描述


2)写入数据库的数据要进行特殊字符的转义

如:SQL语句中带 "",或者 ''的都需要进行转义,在应用层要进行处理,也是为了防止SQL语句的注入。


3)查询错误信息不要返回给用户,将错误记录到日志

注:不要将错误信息返回到应用中,应用中的信息会显示给用户,用户会获取到数据库中的信息,这样本身来说,就是一种不安全的显示,所以 在此过程中可以把错误屏蔽掉,记录到错误日志中,定期查询错误的时候,只要查看错误日志即可

注意:PHP端尽量使用 PDO 对数据库进行相关操作,PDO 拥有定义预处理语句很好的支持的方法,MySQLi 也有,但是可扩展性不如 PDO,效率略高于 PDOMySQL 函数在新版本中已经趋向于淘汰,所以不建议使用,而且它没有很好的支持预处理的方法。


2、延伸:MySQL的其他安全设置

  • 定期做数据备份;
  • 不给查询用户root权限,合理分配权限;
  • 关闭远程访问数据库权限(注:关闭远程访问数据库权限是为了防止数据库被暴力破解);
  • 修改root口令,不用默认口令,使用较复杂的口令;
  • 删除多余的用户;
  • 改变root用户的名称(改一个特殊的,让别人猜不到的名称);
  • 7)限制一般用户浏览其他库(如:现在有三个应用,每个应用建立自己独立的用户,不能去互相的访问对方的库);
  • 8)限制用户对数据文件的访问权限(我们都知道,所有MySQL的数据都存储在文件中,因此我们要对文件做一些权限的限制。如:有3个应用,每个应用都有自己各自的用户,各自的用户不光要限制其MySQL的权限,还要设置MySQL中 data目录下的每一个库的权限,每一个目录的权限)。

二、解题方法

通常情况下,SQL安全的考点都在防SQL注入的问题,因此只要遇到此类考点,优先考虑SQL注入的防护手段。


三、真题

为什么使用PDO和MySQLi连接数据库会比MySQL函数库更加安全?

  • 因为 PDOMySQLi 本身支持预处理;
  • 预处理本身就可以防止SQL注入,因此比MySQL函数库更加安全;
  • MySQL函数库本身是不支持预处理的。
studyphp123
关注
专栏目录
MySQL数据库安全
12-17
了解MySQL权限的主要应用;熟悉MySQL提供的权限及权限的工作原理;掌握MySQL初始权限的管理;掌握授权表的使用;熟悉Grant和REVOKE语句用法;掌握添加和删除用户;掌握授权和撤销用户权限;
php面试题和进阶资料
09-28
这份“php面试题和进阶资料”压缩包显然为那些希望深入理解PHP或准备PHP相关面试的人员提供了宝贵的资源。下面,我们将详细探讨PHP的一些核心知识点,以及在面试中可能遇到的问题。 一、PHP基础 1. 变量:PHP中的...
sql语句应该考虑哪些安全性
u013705132的博客
05-04 675
(1)sql注入,对特殊字符进行转义,过滤或者使用预编译sql语句绑定 (2)使用最小权限原则,特别是不要使用root账户,微不同的动作或者操作建立不同的账户 (3)当sql出错时,不要把数据库出错的信息暴露到客户端 ...
十道MySQL必问面试题
最新发布
1点25的博客
08-31 1466
也是可以利用到索引的,并不一定是全表扫描,也可以扫描某个索引B+树的叶子节点,从而得到总条数,因为不管是什么索引,主键索引还是辅助索引,实际上它们对应的B+树中的叶子节点中的数据条数是一样的,只不过字段数不一样,主键索引存了全部字段,而辅助索引只存了定义的索引字段+主键字段,所以通常辅助索引是要比主键索引小的,因此遍历起来也会更快,但是记录条数是一样的。就需要锁全部的间隙了,因为全部的间隙都有可能插入name='zhouyu’的记录,或者可以理解为会给所有记录都加临键锁,这样就锁住了所有的间隙。
sql语句应该考虑哪些安全性?(新浪)
www.phptuku.com——PHP全栈工程师的摇篮!
02-28 1987
sql语句应该考虑哪些安全性
冰镇-西瓜的博客
08-29 2232
sql语句应该考虑哪些安全性呢? 1.sql注入,对特殊字符进行转义(addslashes),或者使用已经编译好的sql语句进行变量的绑定; 2.当sql运行出现错误的时候,不要把数据库返回的错误信息全部显示给客户,以止泄漏服务器和数据库的相关信息; 3.最小权限原则,特别不要使用root用户,为不同的类型的动作或者组建不同的账户;
php面试题之五——MySQL数据库(基础部分)
热门推荐
s1070的专栏
04-17 1万+
mysql_num_rows() mysql_affected_rows() 这两个函数都作用于 mysql_query($query)操作的结果,mysql_num_rows() 返回结果集中行的数目。mysql_affected_rows() 取得前一次 MySQL 操作所影响的记录行数。 mysql_num_rows()仅对 SELECT 语句有效,要取得被 INSERT,UPDATE
2022年PHP面试题.doc
11-11
查询发帖最多的前10个人的SQL语句为:`SELECT * FROM members ORDER BY posts DESC LIMIT 0, 10`,这会按发帖数量降序排列并返回前10个记录。 5. **GD库**: GD库是PHP中的一个图形处理库,用于创建、修改和显示...
# PHP 面试题-.md
06-11
### PHP 面试题解析 #### 1. PHP中的变量如何声明和使用? 在 PHP 中,变量通过 `$` 符号进行声明...这些问题涵盖了 PHP 的基础概念、常用功能以及安全性等方面,对于准备 PHP 相关职位面试的人来说是非常有帮助的。
2022年PHP新手面试题.doc
11-11
PHP新手面试题详解】 1、用 PHP 打印出前一天的时间格式是-5-10 22:21:21。可以使用 `date()` 函数配合 `strtotime()` 函数来完成,如 `echo date('Y-m-d H:i:s', strtotime('-1 day'));`。 2、`echo()`, `print...
PHP面试题(笔试题)
05-16
15. **安全性**:理解SQL注入、XSS、CSRF等常见Web安全威胁,以及如何通过验证、过滤和编码来预它们。 以上知识点是PHP面试题中可能涉及的部分内容,通过深入学习和实践,开发者可以更好地准备面试,提高自己的...
php面试题1001php面试题,SQL数据库面试题以及答案
weixin_39617044的博客
03-25 160
9、查询所有课程成绩小于60分的同学的学号、姓名;select stuId,stuNamefrom Studentwhere stuId not in (select Student.stuId from Student,Scores where S.stuId=Scores.stuId and score>60);10、查询没有学全所有课的同学的学号、姓名;select Student.s...
mysql保证数据的安全性
beiduofen2011的专栏
04-08 2049
mysql 是日志先行的原则,在操作一条数据的时候,就会把旧数据插入undolog 在事务提交的时候,会把最新的数据保存在redolog表中 在事务提交之后,如果开启了binlog,则会把sql或者数据的前后变化保存在binlog中 undo.log和redo.log保证了数据的一致性,保证了数据库的安全 持久性:持久性意味着当系统或介质发生故障时,确保已提交事务的更新不能丢失。即一旦一个事务提交,DBMS保证它对数据库中数据的改变应该是永久性的,耐得住任何数据库系统故障。持久性通过数据库.
php面试 mysql_php面试专题---17、MySQLSQL语句编写考点
weixin_34416354的博客
02-19 116
php面试专题---17、MySQLSQL语句编写考点一、总结一句话总结:注意:只写精品1、MySQL的关联UPDATE语句?关键UPDATE A,B:UPDATE A,B SET A.c1=B.c1,A.c2=B.c2 WHERE A.id=B.id关键A INNER JOIN B:UPDATE A INNER JOIN B ON A.id=B.id SET A.c1=B.c1,A.c2=B....
php sql语句检测,PHPSQL注入实现(测试代码安全不错)?
weixin_39607935的博客
03-10 294
德玛西亚99SQL注入的重点就是构造SQL语句,只有灵活的运用SQL 语句才能构造出牛比的注入字符串。学完之后写了点笔记,已备随时使用。希望你在看下面内容时先了 解SQL的基本原理。笔记中的代码来自网络。 ===基础部分=== 本表查询: http://127.0.0.1/injection/user.php?username=angel' and LENGTH(password)='6 http...
面试时被问到的一些PHP开发安全问题
不和贪婪的人相对 不为薄情寡义的人流泪 这世界嘲笑我的人很多 你只是其中一个 不为岁月流逝蹉跎 不随潮流的是否去附和
02-28 1412
安全保护一般性要点 不相信表单: 对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器。需要在服务器端进行验证,对每个php脚本验证传递到的数据,止XSS攻击和SQL注入。 不相信用户:  要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理。
PHP安全编程之表单与数据安全
爱代码也爱生活
08-10 643
在典型的PHP应用开发中,大多数的逻辑涉及数据处理任务,例如确认用户是否成功登录,在购物车中加入商品及处理信用卡交易。 数据可能有无数的来源,做为一个有安全意识的开发者,你需要简单可靠地区分两类数据: 已过滤数据被污染数据 所有你自己设定的数据可信数据,可以认为是已过滤数据。一个你自己设定的数据是任何的硬编码数据,例如下面的email地址数据:$email = 'gonn@now
php考察新人的题目,PHP面试指南2020-sql考察题
weixin_33524659的博客
03-10 167
给定四个表:student(学生表)teacher(老师表)course(课程表)sc(成绩表)根据题目要求,写出SQL语句。「问题列表」1、查询每个学生的学号、姓名和每门课的成绩2、查询都学过2号同学(sid=2)学习过的课程的同学的学号3、查询“语文(cid=1)”课程比“数学(cid=2)”课程成绩高的所有学生的学号;4、查询平均成绩大于60分的同学的学号和平均成绩;5、查询所有同学的学号、...
php 笔试题 SQL性能优化,php开发工程师面试题知识点总结(四)--高级篇
weixin_42531579的博客
03-10 188
php开发工程师面试题知识点总结(四)--高级篇青春阳光king 码农编程进阶笔记并发处理进程(Process)是计算机中程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单元,是操作系统结构的基础。进程是一个执行中的程序进程的三态模型:运行、就绪、阻塞进程的五态模型:新建态、活跃就绪/静止就绪、运行、活跃阻塞/静止阻塞、终止态新建态:对应于进程刚刚被创建时没有被提交的状态,并等...
PHP面试精华:基础题+进阶技巧解析
本文档是一份PHP面试题的汇总,包含基础题和简述题两部分,旨在帮助求职者准备面试,了解面试官可能关注的知识点。以下是对部分题目及答案的详细解析: 1. **基础题** - **表单提交方法**:GET和POST的主要区别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值