php mysql 安全防范_高手整理的PHP MySQL安全方案

最新推荐文章于 2022-08-18 13:26:17 发布
最新推荐文章于 2022-08-18 13:26:17 发布
阅读量177 收藏
点赞数
文章标签: php mysql 安全防范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28684497/article/details/113473621
版权

在网站上,我们要想象每个访问者都是恶心的,这样才能整出更安全的网站。下面是高手整理的php mysql安全方案,对于初学都特别有用。

1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)

将下面两个关闭

ini_set("magic_quotes_runtime", 0);

ini_set("magic_quotes_sybase", 0);

全部自己手工对所有变量添加magic_quotes,就是添加addslashes

代码如下:

function stripslashes_deep($value){

$value = is_array($value) ?

array_map('stripslashes_deep', $value) :

stripslashes($value);

return $value;

}

function strip_slashes(){

// If already slashed, strip.

//把原有的slash去掉,重新添加自己的magic_quotes

if ( get_magic_quotes_gpc() ) {

$_GET    = stripslashes_deep($_GET);

$_POST   = stripslashes_deep($_POST  );

$_COOKIE = stripslashes_deep($_COOKIE);

$_SERVER = stripslashes_deep($_SERVER);

$_REQUEST = stripslashes_deep($_REQUEST);

}

$_GET    = add_magic_quotes($_GET   );

$_POST   = add_magic_quotes($_POST  );

$_COOKIE = add_magic_quotes($_COOKIE);

$_SERVER = add_magic_quotes($_SERVER);

$_REQUEST = add_magic_quotes($_REQUEST);

}

strip_slashes();

显示的时候全部stripslashes还原,虽然这很麻烦,不过如果你有一个模板引擎,可以在变量赋值的时候,统一作这个事情,

例如:

function assign($var, $value = '') {

if (is_array($var)) {

foreach ($var as $k => $v) {

$this->vars[$k] = stripslashes_deep($v);

}

} else {

$this->vars[$var] = stripslashes_deep($value);

}

}

这样可以避免' " 等符号,下面还会有说明

2 对于用户名这样的字段,输入时候,检查不允许有空格,而且必须是字母数字下划线或划线这四种,用正则检查

还有诸如结点名,菜单名,角色名这些不需要用' " 的,一定要在录入之前就检查,或者用替换为空

3 所有ID为数字的变量,必须检查是否为数字,并将变量强制转换成数字

如果ID是前面带0的或者字符型的,可用编码规则对其进行检查,例如全是数字的正则

4 对于php的mysql函数,由于天生一次只能执行一条语句,即;不会自动断。所以无法通过追加语句实现注入,只可能通过将语句插入到变量中来起作用注入,所以对于delete ,select,update都可能有破坏作用。

例如:

delete from tbl_users where user_id = 'admin' 变成 delete from tbl_users where user_id = 'admin or user_id<>'0',即在输入栏为:admin or user_id<>'0

所以对于变量参数:

不该有空格的,空格要去掉

该位数字的,一定要转换成数字

有编码规则的,一定要检查编码规则

有长度限制的一定要加入长度限制

绝对不会有注入语句的,就筛查sql关键字

将一些危险字符进行替换,例如用“代替",空格用 代替,特殊字符转成html等等

当然用addslashes还是有明显效果的,对于php来说,要想在变量中插入条件,必须通过'来完成,所以这一招可以彻底断了所有企图

5 apache,php,mysql不要以系统用户运行

6 连接mysql不要用root

7 系统的所有错误信息必须关闭或者屏蔽

8 屏蔽非主流浏览器的user-agent

9 记录所有的sql操作和用户ip,如果发现危险语句,可以立刻屏蔽该IP,例如3天

如果是用户登录后,有危险sql注入的语句,直接删除该用户,同时屏蔽IP

10 对于验证码要可以采用使用中文,变换字符串样式,必须点击弹出等方法

11 如果还是不安全,就要像电子银行那样,用U盾和专用控件了

萝卜鱼丸烧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql 安全 防止SQL注入
移动互联网后端服务架构
08-27 679
1.永远不要信任外界输入的数据,特别是来自于客户端的,包括选择框、表单隐藏域和 cookie 2.永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号 3.检查输入的数据是否具有所期望的数据格式 eg:如果程序等待输入一个数字,可以考虑使用 is_numeric() 来检查,或者直接使用 settype() 来转换它的类型,也可以用 sprintf() 把它格式化为数字:
Apache/PHP/Mysql服务器简单安全防护
heiyeluren的blog(黑夜路人的开源世界)
09-16 2193
apache日志,看/usr/local/apache/logs/access_log文件,看看对方提交了些什么请求,如果可能,安装一个IDS,比如Snort之类得,设定规则能够过滤很多SQL Injection。服务器端:设置PHP.inimagic_quotes_gpc = Onsafe_mode = Onallow_url_fopen = Offdisable_functions = fo
php.ini魔术引号,PHP 魔术引号(Magic Quotes)以及 WordPress 的处理方式
weixin_39789792的博客
03-20 144
魔术引号(Magic Quotes)魔术引号(Magic Quotes)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。当魔术引号打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。PHP 一共有三个魔术引号指令:magic_quotes_gpc ...
使用 PHPMySQL安全注册系统
allway2的博客
08-18 695
我们已经在我们的 PHP 脚本中进行了基本验证,但是如果我们想检查电子邮件是否真的是电子邮件,或者用户名和密码是否应该是一定数量的字符长,你可以使用下面的代码来做到这一点,将它们添加到这。如果代码有效,用户的帐户将被激活。函数,这将使用单向算法加密用户的密码 - 如果您的数据库因某种原因变得易受攻击,这将防止您的用户密码被暴露。现在我们需要创建将处理表单字段的注册文件,检查基本验证,并将新帐户插入我们的数据库。变量将生成一个唯一的 ID,我们将用于我们的激活码,这将被发送到用户的电子邮件地址。...
使用 PHPMySQL安全登录系统
allway2的博客
08-17 1369
我们将使用这些变量来确定用户是否登录,并将会话变量与我们检索到的 MySQL 数据库结果相关联。我们现在将创建一个表单,我们的用户可以使用它来输入他们的详细信息并提交它们以供处理。但是,我不建议删除散列函数,因为如果您的数据库以某种方式暴露,那么存储在帐户表中的所有密码也将暴露。上面的代码从数据库中检索额外的账户信息,和之前的主页一样,我们不需要连接到数据库,因为我们检索了存储在会话中的数据。最初,代码将启动会话,因为这使我们能够在服务器上保留帐户详细信息,稍后将用于记住登录用户。这是一个非常基本的主页。.
Taha Baydha_MYSQL_php_dhaduowweb_
10-04
【标题】"Taha Baydha_MYSQL_php_dhaduowweb_" 提示我们这是一个关于MySQLPHP以及可能与Web开发相关的项目或教程。Taha Baydha可能是这个项目的作者或者是一个特定的角色名称。 【描述】"php app mysql service ...
PHP安全防范技巧分享
10-28
推荐使用mysql_real_escape_string,但必须确保指定正确的字符集。更好的选择是使用预处理语句,如PDO的prepare和execute,或Zend Framework中的DB类,它们能更有效地防止SQL注入。 对于XSS(跨站脚本攻击)的防范...
php addslashes和mysql_real_escape_string
10-29
`addslashes()` 和 `mysql_real_escape_string()` 都是PHP提供的用于预处理用户输入数据的函数,以避免潜在的安全问题。然而,它们之间存在一些关键的区别。 `addslashes()` 函数会在指定的字符串中的特定字符前...
基于PHP_MySQL的Web系统安全防范及全站静态化.pdf
10-24
PHP_MySQL Web系统安全防范PHP是一种广泛使用的服务器端脚本语言,尤其在构建动态网站方面。然而,PHP的灵活性和强大的功能也带来了安全风险。由于PHP自身的某些缺陷和开发者安全意识的不足,PHP网站往往容易...
PHP+MYSQL 注入靶场
最新发布
04-26
**PHP+MYSQL 注入靶场**是一个用于学习和实践**SQL注入**的平台,它包含相关的源代码,有助于用户深入理解漏洞的原理。...记住,安全是Web开发的关键组成部分,理解和防范SQL注入是每个Web开发者的基本功。
PHp mysql 安全操作_PHP+MySQL安全方案整理
weixin_28930803的博客
01-28 130
看之前牢记一句老话:一切用户输入的都是不安全的。1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)将下面两个关闭ini_set("magic_quotes_runtime", 0);ini_set("magic_quotes_sybase", 0);全部自己手工对所有变量添加magic_quotes,就是添加addslashes代码如下:f...
PHP面试题】SQL语句应该考虑哪些安全性?
studyphp123的博客
11-06 1317
文章目录一、考点1、SQL查询的安全方案1)使用预处理语句防SQL注入2)写入数据库的数据要进行特殊字符的转义3)查询错误信息不要返回给用户,将错误记录到日志注意:PHP端尽量使用 `PDO` 对数据库进行相关操作,`PDO` 拥有定义预处理语句很好的支持的方法,`MySQLi` 也有,但是可扩展性不如 `PDO`,效率略高于 `PDO`,`MySQL` 函数在新版本中已经趋向于淘汰,所以不建议使...
WEB安全基础-PHP+MySQL实践
IT1995的博客
01-06 4950
MySQL数据库详细信息如下: test2.php源码: MySQL测试 学生列表如下 <?php function ShowTable($table_name){ $conn=mysql_connect("localhost","root","root"); if(!$conn){ echo "连接失
php操作mysql防止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
PHP安全性漫谈
weixin_30610755的博客
11-30 141
本文所讨论的安全环境是在Linux+Apache+Mysql+PHP。超出此范围的安全性问题不在本文范畴之内。一、apache server安全性设置1、以Nobody用户运行一般情况下,Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保Apache Serv...
php中有关操作数据库安全的几个函数总结
Walker-C
01-23 1017
当使用php向数据库中写入或者读取数据时,若在进行操作前对字符串进行一些处理,如:过滤处理,可能会导致某些数据库语句因为特殊的字符引起的污染而出现致命的错误。为此,php中提供了一个“魔法开关”—–magic_quotes_gpc。(该开关已在5.4.0版本被删除,始终置为off) 当magic_quotes_gpc = on时,从外部post、get、cooki过来的数据都会在预定义字符之前
php访问mysql安全问题,PHP / MySQL安全问题
weixin_42504058的博客
04-04 82
先前的答案涵盖了第一点(可能在本网站的其他地方多次)对于第二点,如果你觉得你必须要有这个,我会提出一些建议.您可以编译自己的PHP二进制文件,排除您不希望用户需要的所有选项(可能省略除MySQL之外的所有选项).然后,您应该创建一个php.ini文件,该文件禁用任何有潜在危险的函数(对此使用disable_functions配置选项 – 请参阅其他答案).将内存使用和CPU时间限制为合理的数字(对...
mysqlphp安全性_PHP安全性漫谈之Mysql数据库安全性设置
weixin_30197101的博客
02-02 229
PHP本身并不能保护数据库的安全。下面的章节只是讲述怎样用 PHP 脚本对数据库进行基本的访问和操作。记住一条简单的原则:深入防御。保护数据库的措施越多,攻击者就越难获得和使用数据库内的信息。正确地设计和应用数据库可以减少被攻击的担忧。1、数据库设计问题应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库,因为这些帐号可以执行任意的操作,比如说修改数据库结构(例如删除一个表)或者清空整个数据...
PHP+MySQL注入详解与防范策略
SQL Injection with MySQL 注入分析深入剖析了这种漏洞在PHP环境中的表现形式、影响因素以及如何避免或应对这一问题,对于提高开发者对SQL注入防范的认识具有重要意义。同时,作者也鼓励高级专家对文章提出批评和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值