php如何防注入,PHP如何防止注入

最新推荐文章于 2024-04-25 19:15:50 发布
最新推荐文章于 2024-04-25 19:15:50 发布
阅读量1.1k 收藏 1
点赞数
文章标签: php如何防注入

1、PHP注入的基本原理

程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统

SQL注入过程

正常来讲,我们通过地址接收一些必要的参数如:

show.php?id=2 页面中我们会使用 2 写入到SQL语句中

正常情况:SELECT * FROM Table WHERE id=2

如果我们对SQL语句熟悉,就知道2 我们可以替换成我们需要的SQL语句

如:and exists (select id from admin)

2、防止注入的几种办法

其实原来就是我们需要过滤一些我们常见的关键字和符合如:

Select,insert,update,delete,and,*,等等

function inject_check($sql_str) {

return eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile', $sql_str); // 进行过滤

}

使用

$_GET[id] = inject_check($_GET[id])?exit():$_GET[id];

或者

function inject_check($sql_str) {

if(eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile', $sql_str)){

echo "包含注入内容";

} else {

$sql_str;

}

}

或者是通过系统函数间的过滤特殊符号

addslashes(需要被过滤的内容)

会给特殊字符加/,形成转义字符

3、PHP其他地方安全设置

1、register_globals = Off 设置为关闭状态2、SQL语句书写时尽量不要省略小引号和单引号Select * From Table Where id=2       (不规范)Select * From `Table` Where `id`='2’       (规范)3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名5、对于常用方法加以封装,避免直接暴露SQL语句

七海爱丁堡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP面试题11】PHP如何防止SQL注入
黑夜开发者的博客
06-25 1210
SQL注入攻击是一种常见的Web安全漏洞,可以采用多种方法来防止SQL注入攻击。使用PHP的预处理语句和绑定变量可以有效地避免这种攻击。预SQL注入攻击的最佳实践包括验证用户输入数据、禁止拼接字符串、使用filter_input()函数等。
php 字符串注入,php 字符过滤和sql注入
weixin_42510317的博客
03-09 261
Filter,它的作用就和他的名字一样——过滤。过滤规则成为过滤器,Filter内置了多个常用过滤器,根据过滤器功能的不同,可以分成净化过滤器(Sanitization)和验证过滤器(Validation)两种。两种的差别在于,净化过滤器会把被过滤的变量中不符合规则的东西清除掉,返回清除后的内容;而验证过滤器只是验证的功能,并不会去改变变量的值,如果符合过滤器的规则,则返回变量内容,否则返回fal...
PHP后端安全性:如何防止SQL注入和跨站脚本攻击?
最新发布
ElvaRaleign的博客
04-25 945
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁和漏洞信息,不断更新和改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式和资源的来源,从而防止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
PHP代码注入详解
Zeker62的博客
08-16 5002
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHP。 eval函数的作用是将字符串作为PHP
PHP防止注入及开发安全
weixin_30385925的博客
07-25 107
一、 防止注入的几种办法   其实原来就是我们需要过滤一些我们常见的关键字和符合如:   Select,insert,update,delete,and,*,等等   例子: 1  function inject_check($sql_str) {2 3   return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\....
转:PHP防止SQL注入的方法
weixin_34258838的博客
10-08 765
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
PHP注入安全代码
10-30
另一种更常见的注入策略是使用预处理语句和参数绑定,例如使用PDO(PHP Data Objects)库。预处理语句可以确保即使输入包含恶意SQL代码,也不会被执行,因为参数值会被单独处理,不会混淆到SQL语句中。 ```php //...
简单的php注入类库
05-02
3. **错误处理**:良好的注入类库会处理SQL错误,防止暴露数据库结构信息。 4. **日志记录**:记录尝试注入的行为,帮助开发者识别和修复潜在问题。 5. **配置选项**:允许开发者根据自己的需求调整清理规则或...
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
php主页篡改木马注入
04-18
c++用vs2013写的一个程序,里面有说明,根据说明进行配置,然后会启动即可。比杀毒软件好用,再也不用担心主页被劫持了。
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
很好用的PHP注入
06-23
简介:<?php  /**   * 参数处理类   * @author JasonWei   */  class Params  {      public $get = array();        public $post = array();        function __construct()      {  if (!emptyempty($_GET)) {      foreach ($_GET as $key => $val) {  if (is_numeric($val)) {      $this->get[$key] = $this->getInt($val);  } else {      $this->get[$key] = $this->getStr($val);  }      }  }  if (!emptyempty($_POST)) {      foreach ($_POST as $key => $val) {  if (is_numeric($val)) {      $this->post[$key] = $this->getInt($val);  } else {      $this->post[$key] = $this->getStr($val);  }      }  }这是一份很好用的PHP注入类,需要的朋友可以下载使用
PHP防止SQL注入的方法
weixin_30289831的博客
09-23 88
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打...
sql注入代码 php,php sql注入程序代码
weixin_39613208的博客
03-10 209
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于...
php防止mysql注入
空白_回忆的博客
01-05 4586
1、PHP预定义字符是:单引号(’)、双引号(”)、反斜杠(\)、NULL 注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
php 预编译防止注入代码解析
qq_38348692的博客
08-22 505
案例源码: <?php $username = $_GET['username']; $pass = $_GET['password']; //建立连接 $link = mysqli_connect("localhost","root","root","test"); //创建sql ?为占位符 $sql = "select * from users where user_name = ...
PHP中如何防止SQL注入
热门推荐
zHHHe的专栏
08-03 1万+
这是StackOverFlow上一个投票非常多的提问 How to prevent SQL injection in PHP?   我把问题和赞同最多的答题翻译了下来。本人翻译水平很渣,请读者见谅。 提问:如果用户的输入能直接插入到SQL语句中,那么这个应用就易收到SQL注入的攻击,举个例子: $unsafe_variable = $_POST['user_input']; mysqli_q
php注入函数
若水印象博客
03-05 1323
1、 PHP注入的基本原理 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统 //注入 functi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值