php处理sql注入问题 如何防止双重转义

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量379 收藏
点赞数

<?php

//php防注入和XSS攻击通用过滤. 

//by qq:831937

$_GET       && SafeFilter($_GET);

$_POST      && SafeFilter($_POST);

$_COOKIE    && SafeFilter($_COOKIE);

  

function SafeFilter (&$arr)

{  

      if (is_array($arr))

     {

          foreach ($arr as $key => $value)

          {

               if (!is_array($value))

               {

                    if (!get_magic_quotes_gpc())    //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。

                    {

                         $value    = addslashes($value);    //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)加上反斜线转义

                    }

                    $arr[$key]         = htmlspecialchars($value,ENT_QUOTES);   //&,",',> ,< 转为html实体 &amp;,&quot;&#039;,&gt;,&lt;

 

               }

               else

               {

                    SafeFilter($arr[$key]);

               }

          }

     }

}

?>

tv002
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入转义php函数代码
01-20
sql注入:  正常情况下:  delete.php?id=3; $sql = ‘delete from news where id = ‘.$_GET[‘id’];  恶意情况:  delete.php?id=3 or 1; $sql = ‘delete from news where id = 3 or 1’; ——-如此执行后,...
XSS攻击过滤【包括数据库、页面方面】
weixin_46742102的博客
09-28 541
/* * XSS攻击过滤 * 调用此方法字段 展示时需要用stripslashes() 清理从数据库或 HTML 表单中取回的数据 */ public static function clearXss($string = ''){ if (empty($string)) return ""; if (!get_magic_quotes_gpc()) { //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。 //这个是数据库层..
IIS 带“+”加号文件无法识别-设置“双重转义”解决
qq_45059900的博客
02-17 676
IIS 带“+”加号文件无法识别-设置“双重转义”解决
处理SQL语句中一些特殊字符,不被转义的方法?
Do_LaLi的博客
11-16 2931
<![CDATA[]]>标签 在编写SQL语句时,如果使用一些特殊字符如:>,<,&等等。我们不希望在解析XML文件的时候被转义,这个时候我们可以使用<![CDATA[]]>来解决。 案例: <!--查询条件包含特殊字符就将sql写在里面:<![CDATA[sql]]>--> <![CDATA[ AND lately_time >= #{startTime}
在正则表达式中使用原始字符串(r“...“)来避免斜杠的二次转义是什么意思?
m0_57236802的博客
02-23 275
然而,在正则表达式中,斜杠也是一个特殊的字符,它用于表示特殊字符和字符组合,如"\d"表示数字字符。如果在正则表达式中需要匹配一个字面上的斜杠,就需要使用两个斜杠(“”)进行转义。这样,当Python解释器读入这个字符串时,第一个斜杠将转义第二个斜杠,从而保留斜杠的字面意义。在原始字符串中,斜杠不会被解释为转义字符,而是作为字面量进行匹配。例如,r”\n"表示匹配一个字面上的斜杠和一个字母n,而不是一个换行符。例如,“\n"表示换行符,”\t"表示制表符,“”"表示双引号等。
PHP常见的SQL防注入方法
最新发布
weixin_43741253的博客
09-22 2168
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
php防止SQL注入详解及防范
12-19
对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单:复制代码 代码如下:<form action=”/...
SQL中的转义字符
12-14
之前写了篇文章《Oracle转义字符》,说到了Oracle中单引号“’”的转义字符是单引号“’”,那么其他的特殊字符的转义字符又是什么呢,如模糊查询的占位符“%”,“_”等。  经过测试,在Oracle中不能再使用单引号...
SQL中使用ESCAPE定义转义符详解
12-15
使用ESCAPE定义转义符  在使用LIKE关键字进行模糊查询时,“%”、“_”和“[]”单独出现时,会被认为是通配符。为了在字符数据类型的列中查询是否存在百分号 (%)、下划线(_)或者方括号([])字符,就需要有一...
关于防止sql注入的几个知识点
12-14
 1.2:提供给预处理的语句不需要携带引号,所以可以有效防止sql的注入。但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。  1.3:另外pdo预处理无效的地方:  1.3.1:limit语句  ...
IIS7.0、IIS7.5、IIS8.0等提示“请求筛选模块被配置为拒绝包含双重转义序列的请求”的解决方法小结
09-30
主要介绍了访问网站时提示请求筛选模块被配置为拒绝包含双重转义序列的请求错误的解决方法,需要的朋友可以参考下
PHP防止SQL注入的方法
tongluren381的博客
10-20 3656
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
PHPSQL注入代码,PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2309
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
SQL注入攻击讲解及PHP防止SQL注入攻击的几种方法
wuxiaopengnihao1的博客
08-25 1308
本文章向大家介绍什么是SQL注入攻击,以及在php网站开发中,如何防止SQL注入攻击。PHP防止SQL注入攻击有三种常用方法,第一种方法是使用PHP转义字符串mysql_real_escape_string()函数,第二种方法是使用mysqli的prepare语句,第三种方法是使用PDO。
PHPSQL注入
S_ZaiJiangHu的博客
05-12 183
需要注意的 (7) 关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中: expose_php = Off 比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。 (8) 关闭注册全局变量 在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问, 这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭: register_glob
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1262
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php字符串转义addslashes与stripslashes
weixin_43740552的博客
12-03 194
php的字符串向数据库进行写入时,为避免数据库错误,需要对特殊字符进行转义,这些特殊字符包括单引号、双引号、斜线与null字符。 addslashes()函数会对特殊字符加上转义字符,返回一个字符串。 $str = "Is your name O'reilly?"; echo addslashes($str); // 输出:Is your name O\'reilly? 注意:默认情况下,p...
PHP 防止SQL注入漏洞
XF Android专栏
01-30 348
开发项目时,不止要考虑项目快速上线,考虑到项目的质量,同时重中之重要考虑到项目的安全性,防止数据泄露,防止数据库被删除,防止数据被篡改等严重的漏洞问题,今天分享一个简单的SQL注入防御,通过在项目入口文件直接引用该类,能防御大部分的表单提交注入的sql语句。涉及到一些特殊的SQL指令,需要自行添加。
sql注入单引号被转义
08-22
为了防止注入攻击,开发人员通常会对用户输入的数据进行转义处理,其中之一就是将单引号转义为其他字符或符号。这样可以确保用户输入的数据不会被误解为SQL语句的一部分。 在MySQL中,常用的转义函数是mysql_real_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值