PHp mysql 安全操作_PHP+MySQL安全方案整理

最新推荐文章于 2021-03-24 02:28:28 发布
最新推荐文章于 2021-03-24 02:28:28 发布
阅读量171 收藏
点赞数
文章标签: PHp mysql 安全操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28930803/article/details/113473619
版权

看之前牢记一句老话:一切用户输入的都是不安全的。

1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)

将下面两个关闭

ini_set("magic_quotes_runtime", 0);

ini_set("magic_quotes_sybase", 0);

全部自己手工对所有变量添加magic_quotes,就是添加addslashes

代码如下:

function stripslashes_deep($value){

$value = is_array($value) ?

array_map('stripslashes_deep', $value) :

stripslashes($value);

return $value;

}

function strip_slashes(){

// If already slashed, strip.

//把原有的slash去掉,重新添加自己的magic_quotes

if ( get_magic_quotes_gpc() ) {

$_GET    = stripslashes_deep($_GET   );

$_POST   = stripslashes_deep($_POST  );

$_COOKIE = stripslashes_deep($_COOKIE);

$_SERVER = stripslashes_deep($_SERVER);

$_REQUEST = stripslashes_deep($_REQUEST);

}

$_GET    = add_magic_quotes($_GET   );

$_POST   = add_magic_quotes($_POST  );

$_COOKIE = add_magic_quotes($_COOKIE);

$_SERVER = add_magic_quotes($_SERVER);

$_REQUEST = add_magic_quotes($_REQUEST);

}

strip_slashes();

显示的时候全部stripslashes还原,虽然这很麻烦,不过如果你有一个模板引擎,可以在变量赋值的时候,统一作这个事情,

例如: function assign($var, $value = '') {

if (is_array($var)) {

foreach ($var as $k => $v) {

$this->vars[$k] = stripslashes_deep($v);

}

} else {

$this->vars[$var] = stripslashes_deep($value);

}

}

这样可以避免' " \ 等符号,下面还会有说明

2 对于用户名这样的字段,输入时候,检查不允许有空格,而且必须是字母数字下划线或划线这四种,用正则检查

还有诸如结点名,菜单名,角色名这些不需要用' " \的,一定要在录入之前就检查,或者用替换为空

3 所有ID为数字的变量,必须检查是否为数字,并将变量强制转换成数字

如果ID是前面带0的或者字符型的,可用编码规则对其进行检查,例如全是数字的正则

4 对于php的mysql函数,由于天生一次只能执行一条语句,即;不会自动断。所以无法通过追加语句实现注入,只可能通过将语句插入到变量中来起作用注入,所以对于delete ,select,update都可能有破坏作用。

例如:delete from tbl_users where user_id = 'admin' 变成 delete from tbl_users where user_id = 'admin or user_id<>'0',即在输入栏为:admin or user_id<>'0

所以对于变量参数:

不该有空格的,空格要去掉

该位数字的,一定要转换成数字

有编码规则的,一定要检查编码规则

有长度限制的一定要加入长度限制

绝对不会有注入语句的,就筛查sql关键字

将一些危险字符进行替换,例如用“代替",空格用%20代替,特殊字符转成html等等

当然用addslashes还是有明显效果的,对于php来说,要想在变量中插入条件,必须通过'来完成,所以这一招可以彻底断了所有企图

5 apache,php,mysql不要以系统用户运行

6 连接mysql不要用root

7 系统的所有错误信息必须关闭或者屏蔽

8 屏蔽非主流浏览器的user-agent

9 记录所有的sql操作和用户ip,如果发现危险语句,可以立刻屏蔽该IP,例如3天

如果是用户登录后,有危险sql注入的语句,直接删除该用户,同时屏蔽IP

10 对于验证码要可以采用使用中文,变换字符串样式,必须点击弹出等方法

11 如果还是不安全,就要像电子银行那样,用U盾和专用控件了

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1784617

溪溪公主喵喵喵
关注
使用MySQLPHP进行数据访问:如何确保数据完整性和安全
AI天才研究院
07-23 1488
作者:禅与计算机程序设计艺术 1.简介 数据库管理系统(Database Management System, DBMS)是管理、存储、检索和更新复杂、结构化的数据的一套程序。它能够对数据的完整性和安全性提供强大的支持。从本质上来说,DBMS将用户输入的数据转换成计算机可以理解和处理的数据。通过正确配置
67.网络安全渗透测试—[SQL注入篇6]—[MySQL+PHP-读写操作]
qwsn
08-31 1946
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、MySQL+PHP 读写操作 1、MySQL特性:`secure_file_priv特性` 2、MySQL+PHP操作 3、windows和linux的常用目录文件 4、MySQL+PHP操作
PHP+MySQL安全方案整理
纯月部落
09-14 4371
 看之前牢记一句老话:一切用户输入的都是不安全的。1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)将下面两个关闭ini_set("magic_quotes_runtime", 0);ini_set("magic_quotes_sybase", 0);   全部自己手工对所有变量添加magic_quotes,就是添加adds
php mysql 安全防范_高手整理PHP MySQL安全方案
weixin_28684497的博客
01-28 215
在网站上,我们要想象每个访问者都是恶心的,这样才能整出更安全的网站。下面是高手整理php mysql安全方案,对于初学都特别有用。1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)将下面两个关闭ini_set("magic_quotes_runtime", 0);ini_set("magic_quotes_sybase", 0);全部自己...
phpmysql安全
09-11 161
phpmysql安全 原文:https://www.cnblogs.com/mafeng/p/5939329.html。 请浏览原文。 一、服务器配置方面。   (1)打开php安全模式     php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),    同时把很多文件操作函数进行了权限控制,也不允许对某些...
php mysql安全_脚本安全的本质_PHP+MYSQL第3/3页
weixin_32557421的博客
02-08 82
脚本安全的本质_PHP+MYSQL第3/3页更新时间:2008年10月03日 20:21:00 作者:从代码级别上,也就是应用层次上考虑代码安全的话(也就是不考虑底层的语言本身等问题的漏洞),脚本安全问题就是函数和变量的问题。二 哪里是不安全的变量最终是要代码处理的,代码最终是要依靠一些系统的函数和语句执行的,不正确的变量出现在危险的函数里,那么恭喜你,漏洞出现了!1 Sql注射漏洞:按照我们...
iis+php+mysql一键安装包,iis下php+mysql一键安装包兼容win系列所有系统
09-08
本软件是windows下的iis下的php一键环境安装工具,集成了php+mysq+zend+phpmyadmin,可以直接安装在wind的服务器上面使用,安全,简单,方便。mysql单独账号运行使数据库更加安全,支持windows2003,windows7,...
PHP+MySQL 图书管理系统
06-14
图书馆管理系统前后台全部代码(附带数据库文件,应该没用了),可对图书和读者进行搜索和增删改查等操作。功能不是很全请谨慎下载。具体请看http://blog.csdn.net/leslie___cheung/article/details/79074383 XMAPP...
php+mysql+bootstrap+jquery实现增删查改的前后端
05-03
在本项目中,我们主要探讨如何使用PHPMySQL、Bootstrap和jQuery这四个技术栈来构建一个功能完善的前后端系统,实现数据的增删查改(CRUD)操作。以下是关于这些技术及其相互配合的详细说明。 **PHP**: PHP是一种...
云+网站+mysql+流程_腾讯公有云实例+云数据库MySQL部署LNMP架构–技术流ken
weixin_29246195的博客
01-18 2441
浏览次数:17,362介绍实验用到了按量付费的腾讯云实例和云数据库MySQL。按量付费大大降低了用户使用云服务的门槛,普通用户实验一个小时成本不足一元钱。详细步骤第一步:购买云服务器一个云实例成本一个小时维持在3毛左右。。。查看获得云实例第二不:购买云数据库云数据库一个小时五毛六。。查看获取到的云数据库把创建的实例加入到云数据库中第三步:测试在实例上登录数据库[root@VM_0_4_centos...
php安全 mysql,最好的php+mysql安全
weixin_34278412的博客
03-10 226
最好的php+mysql安全就是重新构件PHP解释引擎和MYSQL数据库比如php里面的$mysql = new mysqli($host, $user, $passwd, "test");$mysql->query("DROP TABLE IF EXISTS test_bint");$mysql->query("CREATE TABLE test_bint (a bigint(20)...
php的一些安全性的操作
静下心来,认真的研究技术。
05-04 757
<br />程序的安全性越高,系统受到的保护程序才能越大。然而很多网站的安全漏洞是由于表单漏洞引起的。下面的是我们应该注意的几个地方<br /> <br />1: 在php读取文件的时候首先需要判断这个文件是否存在,存在的话打开。<br />      如果不加这个操作的话,用户可以这样攻击<br />     <?php<br />         $fp= fopen("/com/{$_GET['file']}","r");<br />     ?><br />     程序的本意是打开路径com下的f
php中有关操作数据库安全的几个函数总结
Walker-C
01-23 1059
当使用php向数据库中写入或者读取数据时,若在进行操作前对字符串进行一些处理,如:过滤处理,可能会导致某些数据库语句因为特殊的字符引起的污染而出现致命的错误。为此,php中提供了一个“魔法开关”—–magic_quotes_gpc。(该开关已在5.4.0版本被删除,始终置为off) 当magic_quotes_gpc = on时,从外部post、get、cooki过来的数据都会在预定义字符之前
PHP.ini的安全配置
李木
10-31 419
好久没有写这里的博客了,今天是 2013年10月31号。 追加一篇日志。         php用越来越多!安全问题更为重要!这里讲解如果安全配置php.ini   安全配置一   (1) 打开php安全模式 php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/
WEB安全基础-PHP+MySQL实践
IT1995的博客
01-06 4976
MySQL数据库详细信息如下: test2.php源码: MySQL测试 学生列表如下 <?php function ShowTable($table_name){ $conn=mysql_connect("localhost","root","root"); if(!$conn){ echo "连接失
php连接数据库 怎么安全,Web安全学习笔记(十):PHP基础(下) 之 连接数据库
weixin_36414864的博客
03-24 138
前言:把这个总结完,对于学习的基础也算完事了,剩下的我就要将实战中遇到的多多分享了,也希望多结识一些志同道合,聊得来的朋友。近期目标,准备跟几个老哥搞一下新版的 《Kali Linux Web Penetration Testing Cookbook, Second Edition-Packt Publishing (2018)》 这本书的翻译,边翻译边分享,慢慢也要将公众号推广一下,这样就能慢慢...
php 数据库 安全性,PHP / SQL数据库查询良好实践和安全
weixin_33994072的博客
03-16 94
我的建议:> ditch mysqli支持PDO(使用mysql驱动程序)>使用PDO paremeterized准备好的陈述然后你可以这样做:$pdo_obj = new PDO( 'mysql:server=localhost; dbname=mydatabase',$dbusername, $dbpassword );$sql = 'SELECT column FROM tabl...
php数据库安全措施,为您介绍5个 PHP 安全措施(摘)
weixin_35895753的博客
03-20 267
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把应用程序设置稍作调整即可完成。1:管理安装脚本如果开发人员已经安装了一套第三方应用程序的PHP脚本,该脚本用于安装整个应用程序的工作组件,并提供一个接...
mysql自动转账_php+mysqli事务控制实现银行转账实例
weixin_29122543的博客
01-18 147
这篇文章主要介绍了php+mysqli事务控制实现银行转账,实例分析了事物控制的原理与事物回滚的使用技巧,需要的朋友可以参考下本文实例讲述了php+mysqli事务控制实现银行转账的方法。分享给大家供大家参考。具体分析如下:事务控制,也就是说所有的语句执行成功后,才会提交。否则,如果前面有语句执行成功,而后面没有执行成功,则回滚到执行之前的状态。通过银行转账的案例来说明这个应用。一个账号转了钱出去...
PHP MySQL数据库操作类:安全防注入
本文介绍了一个简单的PHP类,用于安全操作MySQL数据库,具有SQL防注入功能,能够过滤敏感查询关键字,并能获取数据库表名。 在Web开发中,PHPMySQL数据库的交互是常见的任务,而确保数据的安全性是至关重要的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值