PHP防范SQL注入漏洞攻击建议

最新推荐文章于 2023-01-30 16:18:34 发布
最新推荐文章于 2023-01-30 16:18:34 发布
阅读量813 收藏 1
点赞数
分类专栏: mysql php
php 同时被 2 个专栏收录
166 篇文章 1 订阅
订阅专栏
mysql
28 篇文章 0 订阅
订阅专栏
一个简单的SQL注入攻击案例 
假如有一个网站,在网站的后台数据库中保存了所有的客户数据等重要信息。假如网站登录页面的代码中有这样一条命令来读取用户信息。  
<? 
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .$_GET['username']. " ' AND `password`= ' " .$_GET['password']. " ' "; 
?>

现在有一个黑客想攻击数据库,他会尝试在此登录页面的用户名的输入框中输入代码: 
' ; SHOW TABLES; 
点击登陆键,这个页面就会显示出数据库中的所有表。如果他现在使用下面这行命令: 
'; DROP TABLE [table name]; 
这样他就把一张表删除了! 
当然,这只是一个很简单的例子,实际的SQL注入方法比这个要复杂得多,黑客也愿意花大量的时间来不断尝试来攻击你的代码。有一些程序软件也可以自动地来不断尝试SQL注入攻击。了解了SQL注入的攻击原理后,我们来看一下如何 防范SQL注入攻击。 
防范SQL注入 - 使用mysql_real_escape_string()函数 
在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉,如引号等。如下例:  
<? 
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' "; 
?>

php防范SQL注入 - 使用mysql_query()函数 
mysql_query()的特别是它将只执行SQL代码的第一条,而后面的并不会执行。回想在最前面的例子中,黑客通过代码来例后台执行了多条SQL命令,显示出了所有表的名称。所以mysql_query()函数可以取到进一步保护的作用。

代码:  
<? 
//connection 
$database = mysql_connect("localhost", "username","password"); 
//db selection www.jbxue.com
mysql_select_db("database", $database); 
$q = mysql_query("SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ", $database); 
?>

除此之外,还可以在PHP代码中判断输入值的长度,或者专门用一个函数来检查输入的值。

所以,在接受用户输入值的地方一定要做好输入内容的过滤和检查。
当然,学习和了解最新的SQL注入方式也非常重要,这样才能做到有目的的防范。
如果使用的是平台式的网站系统如Wordpress,要注意及时打上官方的补丁或升级到新的版本。
my_baby_2009
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何修复php网站漏洞
网站漏洞修复专家
04-08 3782
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞攻击。 metinfo...
SQL注入php代码
08-24
SQL注入php,通用防注入类
PHP防止SQL注入的方法
tongluren381的博客
10-20 3762
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
PHP 防止SQL注入漏洞
XF Android专栏
01-30 362
开发项目时,不止要考虑项目快速上线,考虑到项目的质量,同时重中之重要考虑到项目的安全性,防止数据泄露,防止数据库被删除,防止数据被篡改等严重的漏洞问题,今天分享一个简单的SQL注入防御,通过在项目入口文件直接引用该类,能防御大部分的表单提交注入的sql语句。涉及到一些特殊的SQL指令,需要自行添加。
php防止SQL注入详解及防范
生而为人我很抱歉
07-13 1639
一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: Username: Password: 作为一
php操作mysql防止sql注入(合集)
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
PHP最全防止sql注入方法
zhao_teng的博客
09-20 1万+
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下:   $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...
PHP代码网站如何防范SQL注入漏洞攻击建议分享
10-28
所有的网站管理员都会关心网站的安全问题。说到安全就不得不说到SQL注入攻击(SQL Injection)
PHP代码网站防范SQL注入漏洞攻击建议.docx
09-27
防范SQL注入的关键在于确保用户输入的数据在被整合进SQL查询之前得到充分的处理和验证。以下是一些防范措施: 1. **使用`mysql_real_escape_string()`函数**:这个函数可以对特殊字符进行转义,防止它们被解释为SQL...
PHPSQL注入攻击[一]
10-30
**防范SQL注入攻击** 1. **参数化查询**:使用预编译的SQL语句,如PHP的PDO扩展提供的预处理语句,可以有效防止SQL注入。这种方法将用户输入作为参数传递,而不是直接拼接到SQL语句中。 2. **输入验证**:对用户...
利用SQL注入漏洞登录后台的实现方法
12-15
攻击者成功利用SQL注入漏洞,他们可以构造恶意的SQL语句,以操纵数据库查询,获取敏感信息,甚至完全控制服务器。以下是对SQL注入的详细解释及其在登录后台中的实施方法。 1. **SQL注入的基本原理**: SQL注入的...
PHP实现增删改查以及防SQL注入
07-12
1、PHP对SQLite的增删改查;2、php+SQLite网站的安全和友好错误提示;相应的博客地址http://blog.csdn.net/pfe_nova/article/details/37728775
如何在PHP防止SQL注入
热门推荐
请叫我搞向
08-17 2万+
如何在PHP防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致S
PHP防止sql注入小技巧之sql预处理
luyaran的博客
08-29 3302
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有什么好处: 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 这种预处理呢,可...
php过滤提交数据 防止sql注入攻击无标题笔记
09-30 376
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
PHP+MYSQL防范SQL注入
01-11 1102
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
PHP SQL防注入
谁还不是一块小饼干的博客
01-04 4379
参考资料: PHP防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事项 php SQL 防注入的一些经验 如何在PHP防止SQL注入PHP安全编程:防止SQL注入 addslashes与mysql_real_escape_string的区别 How can I prevent SQL injection in PHP? 什么是SQL...
【创新未发表】Matlab实现白冠鸡优化算法COOT-Kmean-Transformer-LSTM负荷预测算法研究.rar
最新发布
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
SQL注入漏洞详解与防范策略
SQL注入漏洞全接触是一份深入浅出的技术文档,针对Web应用程序开发中常见的安全问题——SQL注入进行讲解。随着B/S模式(浏览器/服务器)应用的普及,由于行业入门门槛较低,许多程序员在编写代码时忽视了对用户输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值