PHP防止SQL注入的方法

已于 2022-10-27 16:56:29 修改
阅读量3.7k 收藏 27
点赞数 5
分类专栏: mysql php 文章标签: sql 数据库
于 2022-10-20 09:06:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tongluren381/article/details/127419954
版权
php 同时被 2 个专栏收录
21 篇文章 1 订阅
订阅专栏
mysql
9 篇文章 0 订阅
订阅专栏

防止sql注入2点入手

1.前端输入口限制特殊字符输入

2.后端做变量转化,过滤和变量参数话

具体实例:

前端input部分

<input type="text" name="username" class="form-control" placeholder="用户名" maxlength="16" pattern="^[a-zA-Z0-9\u4e00-\u9fa5]{1,16}$" />

<input type="password" name="password" class="form-control" placeholder="密码" maxlength="16" pattern="^[a-z0-9A-Z@]{1,16}$" />

后端php部分一:

$username=$_POST['username'];
$password=$_POST['password'];
$verifycode=$_POST['verifycode'];
$code=$_SESSION['code'];    //获取服务器生成的验证码

//输入过滤,转换
$username = htmlspecialchars(addslashes($username));
$password = htmlspecialchars(addslashes($password));
$code = htmlspecialchars(addslashes($code));
//md5加密
$key = '1234&&xxx@';
$password=md5(md5($password.$key));

PHP简单的数据过滤

1)入库:  trim($str),addslashes($str)

2)出库:  stripslashes($str)

3)显示:  htmlspecialchars(nl2br($str))

 
  function inject_check($sql_str) {     return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);}  function verify_id($id=null) {     if(!$id) {        exit('没有提交参数!');     } elseif(inject_check($id)) {         exit('提交的参数非法!');    } elseif(!is_numeric($id)) {         exit('提交的参数非法!');     }     $id = intval($id);          return $id; }   function str_check( $str ) {     if(!get_magic_quotes_gpc()) {         $str = addslashes($str); // 进行过滤     }     $str = str_replace("_", "\_", $str);     $str = str_replace("%", "\%", $str);         return $str; }   function post_check($post) {     if(!get_magic_quotes_gpc()) {         $post = addslashes($post);    }     $post = str_replace("_", "\_", $post);     $post = str_replace("%", "\%", $post);     $post = nl2br($post);     $post = htmlspecialchars($post);          return $post; }

预防数据库攻击的正确做法(二):

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

后端php部分二:

$url = "localhost";
$usr = "root";
$paw = "123";
$database = "mdb";
 
//$link = 0;
$link = mysqli_connect($url,$usr,$paw,$database) 
	or die("Error " . mysqli_error($link));
//变量参数话
  $sql="SELECT * FROM yonghu WHERE username = ? and password= ?";
  $stmt = $link->prepare($sql);
  $stmt->bind_param('ss', $username,$password);
 
  $stmt->execute();
 
  $result = $stmt->get_result();

 // while ($row = $result->fetch_assoc()) {
 //     // do something with $row
 // }

一:防注入方法一

php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。php如何防sql注入?1、什么时候最易受到SQL注入攻击当应用...https://blog.csdn.net/weixin_32123259/article/details/113959357

二:防注入方法二PHP防止SQL注入的方法 - 暗黑郭采洁 - 博客园【一、在服务器端配置】安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要https://www.cnblogs.com/syx9527/p/3988472.html

三:防注入方法三

如何在PHP中防止SQL注入?_搞向CUIT的博客-CSDN博客_php防护sql注入如何在PHP中防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致Shttps://blog.csdn.net/gusgao/article/details/52231283

php防止sql注入的方法_zhoupenghui168的博客-CSDN博客_php sql注入防御一、什么是SQL注入式攻击?所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:⑴ 某个php Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或...https://blog.csdn.net/zhoupenghui168/article/details/122849227

四:常见注入攻击

小试牛刀:SQL 注入攻击_carol980206的博客-CSDN博客_sql注入攻击实例小试牛刀:SQL注入攻击一、检测注入点二、判断是否存在 SQL 注入可能三、数据库爆破四、字段爆破五、数据库表爆破六、用户名、密码爆破七、总结一、检测注入点首先,在 http://120.203.13.75:6815/?id=1 目标站点页面发现了 ?id,说明可以通过查询 id=1 的内容来获得页面。这相当于查询语句:select * from [表名] where id = '1';...https://blog.csdn.net/carol980206/article/details/87905304

sql注入攻击详解(原理理解)_Footloose_的博客-CSDN博客_sql注入攻击的原理前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。一、什么是sql注入呢?   https://blog.csdn.net/qq_36617521/article/details/53633420

sql注入攻击如何实现-常见问题-PHP中文网实现sql注入攻击的方法:1、破解后台数据库,盗取网站的敏感信息;2、借助数据库的存储过程进行提权等操作;3、攻击者利用发送给SQL服务器的输入参数构造可执行的SQL代码。https://www.php.cn/faq/418621.html

tongluren381
关注
  • 5
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP SQL注入
qpmglj的专栏
04-23 650
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
一个PHPSQL注入完整过程
weixin_43814458的博客
01-07 399
本篇文章介绍的内容是一个PHPSQL注入完整过程,现在分享给大家,有需要的朋友可以参考一下 希望帮助到大家,很多PHPer在进阶的时候总会遇到一些问题和瓶颈,业务代码写多了没有方向感,不知道该从那里入手去提升,对此我整理了一些资料,包括但不限于:分布式架构、高可扩展、高性能、高并发、服务器性能调优、TP6,laravel,YII2,Redis,Swoole、Swoft、Kafka、Mysql优...
PHP常见的SQL防注入方法
weixin_43741253的博客
09-22 2690
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
PHP防止 SQL 注入
weixin_50251467的博客
07-21 563
我们可以将预处理语句与 PDO 一起使用,以防止PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以防止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以防止PHP 中进行 SQL 注入。
ThinkPHP如何防止SQL注入攻击
最新发布
一个努力不被优化的程序员
04-02 822
需要注意的是,以上方法只是一些基本的防止SQL注入攻击的手段,为了进一步提高安全性,开发者还应该对用户输入进行严格的过滤和验证,以确保输入的数据符合预期的格式和范围。Query对象会自动对用户输入的数据进行预处理,确保输入的数据不会被解析为可执行的SQL语句。1. 使用Query对象的参数绑定功能,将用户输入的数据作为参数传递给SQL查询语句。2. 使用Query对象的预处理功能,将用户输入的数据作为预处理的参数。3. 使用Query对象的参数绑定和预处理功能的组合,以提高安全性。
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1284
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
常见的方法防止PHP中的SQL注入
五六碗瓶
12-23 769
2.对用户输入进行过滤和验证:在执行SQL查询之前,对用户提供的输入进行严格的验证和过滤。1.使用预处理语句:使用PDO(PHP Data Objects)或MySQLi等库,可以使用绑定参数或占位符的方式处理SQL查询。3.限制数据库用户权限:为数据库用户分配最小的权限,确保他们只能执行必需的操作,并限制他们对敏感数据的访问。4.避免动态拼接SQL语句:避免直接将用户提供的数据拼接到SQL查询中。5.更新PHP数据库版本:始终使用最新版本的PHP数据库软件,以便获得最新的安全补丁和更新。
php防止sql注入方法
猿男孩的博客
06-20 721
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
php防止sql注入方法详解
10-20
PHP防止SQL注入方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
php防止SQL注入的最佳解决方法
10-27
本篇文章介绍了,php防止SQL注入的最佳解决方法。需要的朋友参考下
PHP防止SQL注入方法详解
10-25
主要介绍了PHP防止SQL注入方法详解,需要的朋友可以参考下
php防止sql注入简单分析
10-24
主要介绍了php防止sql注入方法,简单分析了通过stripslashes及mysql_real_escape_string函数进行字符转移处理的技巧,非常具有实用价值,需要的朋友可以参考下
PHP登录环节防止sql注入方法浅析
12-18
防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试的时候一下就攻破了你的数据库,下面我们来简单的介绍一个...
PHP防止SQL注入实现代码
10-28
PHP开发中,SQL注入是一种常见的...总之,防止SQL注入PHP开发中的核心任务,需要结合多种方法和技术来确保数据安全。通过使用预处理语句、限制数据库权限、输入验证和妥善处理错误,可以有效地降低SQL注入的风险。
PHP简单实现防止SQL注入方法
01-20
本文实例讲述了PHP简单实现防止SQL注入方法。分享给大家供大家参考,具体如下: 方法一:execute代入参数 <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $...
PHP+mysql防止SQL注入方法小结
10-17
主要介绍了PHP+mysql防止SQL注入方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
PHPSQL注入代码,PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2399
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
如何在PHP防止SQL注入
热门推荐
请叫我搞向
08-17 2万+
如何在PHP防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致S
SQL注入攻击讲解及PHP防止SQL注入攻击的几种方法
wuxiaopengnihao1的博客
08-25 1331
本文章向大家介绍什么是SQL注入攻击,以及在php网站开发中,如何防止SQL注入攻击。PHP防止SQL注入攻击有三种常用方法,第一种方法是使用PHP转义字符串mysql_real_escape_string()函数,第二种方法是使用mysqli的prepare语句,第三种方法是使用PDO。
php 防止sql注入
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以防止恶意用户通过输入特殊字符来改变 SQL 查询的结构。使用 PDO 或者 MySQLi 扩展库提供的预处理语句功能可以有效防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam(':username', $username); $stmt->execute(); ``` 2. 使用参数化查询:参数化查询是指在 SQL 查询中使用参数的方式,而不是直接将用户输入拼接到查询语句中。这样可以确保用户输入被正确地转义和处理,从而防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); ``` 3. 输入验证和过滤:对用户输入进行验证和过滤,以确保输入符合预期的格式和类型。可以使用过滤器函数(如 filter_var)或自定义验证函数来验证输入数据的合法性。同时,对于需要存储到数据库的数据,应该使用适当的转义函数(如 mysqli_real_escape_string)对特殊字符进行转义。 示例代码: ```php $username = filter_var($_POST['username'], FILTER_SANITIZE_STRING); $password = mysqli_real_escape_string($conn, $_POST['password']); ``` 4. 使用安全的数据库连接:确保使用安全的数据库连接方式,如使用 PDO 或者 MySQLi 扩展库,并配置正确的连接参数。避免使用不安全的连接方式,如使用不可靠的连接库或者直接拼接用户输入的字符串作为连接参数。 需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安全性措施,并定期更新和维护应用程序以防止新的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值