PHP防止注入及开发安全

最新推荐文章于 2021-03-22 14:05:58 发布
最新推荐文章于 2021-03-22 14:05:58 发布
阅读量110 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/c3055/articles/2098691.html
版权

一、 防止注入的几种办法

  其实原来就是我们需要过滤一些我们常见的关键字和符合如:

  Select,insert,update,delete,and,*,等等

  例子:

 
  
 
   1 
     
   function 
    inject_check( 
   $sql_str 
   ) {
 
   2 
   
 
   3 
      
   return 
     
   eregi 
   ( 
   ' 
   select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file
 
   4 
   
 
   5 
     |outfile 
   ' 
   , 
     
   $sql_str 
   );  
   // 
    进行过滤 
   
 
   6 
    
   
 
   7 
     } 
  
 
 
 
 
  或者是通过系统函数间的过滤特殊符号
 
 
  Addslashes(需要被过滤的内容)
 
 
  二、 PHP其他地方安全设置
 
 
  1、register_globals = Off 设置为关闭状态
 
 
  2、SQL语句书写时尽量不要省略小引号和单引号
 
 
  Select * From Table Where id=2 (不规范)
 
 
  Select * From ·Table· Where ·id·=’2’ (规范)
 
 
  3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤
 
 
  4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名
 
 
  5、对于常用方法加以封装,避免直接暴露SQL语句
 

 

转载于:https://www.cnblogs.com/c3055/articles/2098691.html

                

        

        




    




    

      

        

            

              
                
                  詹小布
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
PHP注入文件

				
			

			

				

					10-13
				

			

		

		

			
				
来自阿里云的PHP安全护
1.将waf.php传到要包含的文件的目录

2.在页面中加入护,有两种做法,根据情况二选一即可:

a).在所需要护的页面加入代码
require_once('waf.php');
就可以做到页面注入、跨站
如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!
添加require_once('waf.php');来调用本代码

常用php系统添加文件
PHPCMS V9 \phpcms\base.php
PHPWIND8.7 \data\sql_config.php
DEDECMS5.7 \data\common.inc.php
DiscuzX2   \config\config_global.php
Wordpress   \wp-config.php
Metinfo   \include\head.php

b).在每个文件最前加上代码
在php.ini中找到:
Automatically add files before or after any PHP document.
auto_prepend_file = waf.php路径;

			
		

	



                

              
                



	

		

			

				
					
php注入开发安全详细解析

				
			

			

				

					10-27
				

			

		

		

			
				
以下是关于PHP注入开发安全的详细解析:  1. **SQL注入的基本原理**:  当开发者在编写PHP代码时,如果直接将未经验证的用户输入与SQL语句拼接,就可能导致SQL注入。例如,一个简单的查询可能如下所示:    ```...

			
		

	



                


  
              

                


	

		

			

				
					
php网站如何防止sql注入

				
			

			

				

					の原為じ簡單
				

				

					12-13
					
					132
					
				

			

		

		

			
				

php网站如何防止sql注入?
网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入安全规范,防止自己的网站被sql注入。
如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起:
Php注入安全范通过上面的过程,我们可以了解到php注入...

			
		

	





	

		

			

				
					
防止PHP注入

				
			

			

				

					
				

				

					10-14
					
					911
					
				

			

		

		

			
				
php+mysql注射的范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval() 将其转换成整数类型,如:
$id=intval($id);
mysql_query=”select *from e

			
		

	



		

			
		



	

		

			

				
					
php注入(一)

				
			

			

				

					qxs101307204的专栏
				

				

					10-20
					
					326
					
				

			

		

		

			
				
Php注入式(一)
   1.函数:
 Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的

			
		

	





	

		

			

				
					
php代码注入,简单的php注入代码

				
			

			

				

					weixin_39932762的博客
				

				

					03-17
					
					489
					
				

			

		

		

			
				
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。  比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB...

			
		

	





	

		

			

				
					
六、PHP如何防止注入开发安全.pdf

					
最新发布

				
			

			

				

					07-30
				

			

		

		

			
				
六、PHP如何防止注入开发安全.pdf

			
		

	





	

		

			

				
					
php防止SQL注入详解及

				
			

			

				

					10-26
				

			

		

		

			
				
与此同时,安全漏洞特别是SQL注入漏洞,一直是PHP开发过程中需要重点范的问题。  SQL注入漏洞发生在应用程序未能正确处理用户输入的情况下,导致恶意用户能够通过输入特定的SQL命令,影响或控制数据库服务器。当...

			
		

	





	

		

			

				
					
PHP100视频教程 53:PHP如何防止注入开发安全.rar

				
			

			

				

					07-09
				

			

		

		

			
				
2、防止注入的几种办法    3、PHP其他地方安全设置    1、register_globals = Off 设置为关闭状态  2、SQL语句书写时尽量不要省略小引号和单引号  3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤  4...

			
		

	





	

		

			

				
					
php 释放内_PHP如何防止注入开发安全

				
			

			

				

					weixin_39938855的博客
				

				

					12-21
					
					147
					
				

			

		

		

			
				
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP10...

			
		

	





	

		

			

				
					
PHP代码实现sql注入

				
			

			

				

					dasongbo7290的博客
				

				

					06-08
					
					167
					
				

			

		

		

			
				
注入是程序员一个必须要了解的基本安全知道了,下面我来介绍关于php使用pdo时的一些注入安全知识。 
在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。 
具体可能有点不一样,但大致的步骤如上所示。 
在PHP 5.3.6及以前版本中,并不支持在DSN中的charset定义,而应该使用PDO::M...

			
		

	





	

		

			

				
					
php  注入的方法,PHP防止SQL注入方法

				
			

			

				

					weixin_39603476的博客
				

				

					03-11
					
					147
					
				

			

		

		

			
				
PHP防止SQL注入方法2019-08-1294我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:方法一:functioninjCheck($sql_str){$check=preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfi...

			
		

	





	

		

			

				
					
php防止注入函数,php注入函数代码

				
			

			

				

					weixin_42322219的博客
				

				

					03-22
					
					147
					
				

			

		

		

			
				
php注入函数代码 在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何注入的呢? php本身自带的一个函数addslaches() 这个函数功能有点弱,不能让人太放心 现在和大家分享一个简单的方法: 新建一个文件保存为checkpostandget.php 然后在php注入函数代码在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何注入的呢?php本身...

			
		

	





	

		

			

				
					
php注入

				
			

			

				

					youngerhao的专栏
				

				

					10-18
					
					1054
					
				

			

		

		

			
				
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(/),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问

			
		

	





	

		

			

				
					
PHP防止SQL注入

				
			

			

				

					战国墨竹的博客
				

				

					06-12
					
					901
					
				

			

		

		

			
				
我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:

复制代码代码如下:
function injCheck($sql_str) {  
    $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str);
...

			
		

	





	

		

			

				
					
php mysql 注入_php,mysql

				
			

			

				

					weixin_35715190的博客
				

				

					02-19
					
					62
					
				

			

		

		

			
				
引发 SQL 注入攻击的主要原因,是因为以下两点原因:1。 php 配置文件 php。ini 中的 magic_quotes_gpc选项没有打开,被置为 off2。 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点...

			
		

	





	

		

			

				
					
php防止sql注入

				
			

			

				

					weixin_30262255的博客
				

				

					04-28
					
					455
					
				

			

		

		

			
				
【一、在服务器端配置】
安全PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我...

			
		

	





	

		

			

				
					
php 防止代码注入,在PHP中,如何防止代码注入攻击?

				
			

			

				

					weixin_42568801的博客
				

				

					03-10
					
					466
					
				

			

		

		

			
				
PHP中有这么多函数,我对这些函数的使用感到很混乱。有人使用:htmlspecialchars(),htmlentities(),strip_tags()等哪一个是正确的,大家通常使用什么呢?下面这行应该是正确的(如果有更好的请给我建议):$var = mysql_real_escape_string(htmlentities($_POST['username']));这一行可以防止MySQL注入...

			
		

	





	

		

			

				
					
PHP注入护策略与安全设置

				
			

			

				

					
				

			

		

		

			
				
5. **编写通用注入函数**:创建一个函数来检查和清理用户输入,例如上文提供的函数`FunStringExist()`,可以检测输入中是否存在非法字符,并根据需要进行跳转或阻止操作。  6. **限制权限**:为数据库用户分配最小...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值