PHP-防注入

最新推荐文章于 2024-08-12 10:31:29 发布
最新推荐文章于 2024-08-12 10:31:29 发布
阅读量76 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/caoql/p/8675877.html
版权

php的防注入常用的有两中mysqli、pdo的预处理方式来防注入

下面是两种方法的例子:

PDO:

   

$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "test";

$pdo = new PDO("mysql:host=localhost;dbname=test","root","root");
//这里有多种写法我喜欢简单一点
$stmt =  $pdo->prepare('insert into test VALUES (?,?)');
 $stmt->execute(array('321','mmmm'));

echo $stmt->rowCount();

MYsqli:


$mysqli = new mysqli($servername,$username,$password,$dbname);

$stmt = $mysqli->prepare("INSERT INTO test (id, name) VALUES(?, ?)");
//参数绑定->给?号赋值 这里类型和顺序要一致,类型、赋值和??的顺序要一致
//参数有以下四种类型:
//i - integer(整型)
//d - double(双精度浮点型)
//s - string(字符串)
//b - BLOB(binary large object:二进制大对象)
$stmt->bind_param("is", $id, $name);
$id=222;
$name = 'bbb';

$stmt->execute();
//执行预处理语句
 echo $stmt->affected_rows;  //1 成功 -1失败
//关闭预编译
$stmt->close();
//关闭数据库连接
$mysqli->close();

转载于:https://www.cnblogs.com/caoql/p/8675877.html

weixin_30609331
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP注入安全代码
10-30
另一种更常见的注入策略是使用预处理语句和参数绑定,例如使用PDO(PHP Data Objects)库。预处理语句可以确保即使输入包含恶意SQL代码,也不会被执行,因为参数值会被单独处理,不会混淆到SQL语句中。 ```php //...
php 释放内_PHP如何注入及开发安全
weixin_39938855的博客
12-21 147
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP10...
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 495
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符止xss攻击以及sql注入
3Q阿斌 php专栏
12-13 2300
addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符止xss攻击以及sql注入 一、转义或者转换的目的     1. 转义或者转换字符串止sql注入     2. 转义或者转换字符止html非过滤引起页面布局变化     3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意
php 过滤特殊字符及sql注入代码
chamtianjiao的专栏
12-27 6492
//方法一 //过滤',",sql语名 addslashes(); //方法二,去除所有html标签 strip_tags(); //方法三过滤可能产生代码 function php_sava($str)  {      $farr = array(          "/s+/",
phpsql注入过滤特殊字符
热门推荐
mingmingsuper的专栏
04-04 1万+
 phpSQL注入2009-01-18 10:34我在PHP4环境下写了一个SQL注入的代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){   $str = str_replace("a
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
360提供的phpsql注入代码修改类
05-02
阅读`readme.md`文件,通常会详细解释如何引入和使用这个注入类,包括类的初始化、方法调用以及如何在实际的SQL查询和HTTP处理中集成这些护机制。类的设计可能会包含如`escape_string()`用于转义SQL字符串,`...
简单的php注入类库
05-02
为确保应用安全,开发人员需要采取有效的御措施,这就是“简单的php注入类库”所关注的核心问题。 首先,我们需要理解SQL注入的工作原理。当用户数据未经验证或清理就直接与SQL查询拼接时,攻击者可能通过输入...
php xfocus注入资料
10-30
PHP编程中,注入攻击是非常关键的安全措施,特别是针对SQL注入。SQL注入允许恶意用户通过输入特定的SQL代码来操纵数据库,可能导致数据泄露、数据破坏或系统权限提升。在本文中,我们将探讨如何使用PHP和...
通用的PHP注入漏洞攻击的过滤函数代码
x163326的专栏
10-22 2101
转自:http://www.q3060.com/list3/list117/17015.html //PHP整站注入程序,需要在公共文件中require_once本文件  //判断magic_quotes_gpc状态  if (@get_magic_quotes_gpc ()) {  $_GET = sec ( $_GET );  $_POST = sec ( $_POST ); 
PHP SQL注入攻击与
qq27898的博客
03-22 1万+
PS:下章节我会就XSS/CSRF写一篇文章,还请各位关注1.什么是SQL注入攻击?百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是...
php 特殊字符过滤
CS_xiaoyu91的专栏
03-15 129
1. htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体 函数原型:htmlspecialchars(string,quotestyle,character-set) 预定义的字符是: & (和号) 成为 & ” (双引号) 成为 " ‘ (单引号) 成为 '...
php止xss攻击以及sql注入
zhumengstyle的博客
12-17 688
function SafeFilter (&$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/'...
PHP中GET/POST方法参数传递空格+逗号等特殊字符处理办法
qq_25600055的专栏
10-30 1万+
自己在项目开发中写了个自用接口,用GET方法传参(用户名和密码)。最近收到用户反馈:密码为特殊字符时会出错。我一开始想是不是php的mysql_real_escape_string函数将特殊字符转义了,但用户说自己密码只有“+”号这个特殊字符,而“+”号不属于该函数转义的范围之内。 为了弄明白这个问题我就在本地测试了一下,果然发现有bug。 测试代码: index.php ec
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 489
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
LNMP环境搭建论坛
qq_63652578的博客
08-07 1003
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 299
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
PHP图书借阅微信小程序系统源码
最新发布
2401_84414018的博客
08-12 137
图书借阅微信小程序”不仅是一个借阅工具,更是你探索知识、享受阅读的得力助手。在这个快节奏的时代,让我们一起慢下来,用阅读滋养心灵,开启一段段美妙的阅读旅程吧!快来加入我们,发现更多阅读的乐趣和惊喜!📚🌟。
PHP注入护策略与安全设置
5. **编写通用注入函数**:创建一个函数来检查和清理用户输入,例如上文提供的函数`FunStringExist()`,可以检测输入中是否存在非法字符,并根据需要进行跳转或阻止操作。 6. **限制权限**:为数据库用户分配最小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值