mysql正则防注入_SQL注入如何防范?

最新推荐文章于 2023-04-27 14:00:13 发布
最新推荐文章于 2023-04-27 14:00:13 发布
阅读量141 收藏
点赞数
文章标签: mysql正则防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31976851/article/details/113614616
版权

为什么不用预处理??????????

为什么不用预处理??????????

为什么不用预处理??????????

重要的事情说三遍!

SQL注入已经是上个世纪的事情了!

如果你不想重新编写,可以使用我简单封装的现成PHP类,请选择其中一个使用。

(我发现代码有我的项目的某些痕迹,所以删掉了无关代码)

MySQLi版:

class DB

{

var $Sql;

var $Fetch;

var $Param = array();

public function __construct($Sql, $Fetch, $Param = array())

{

$this->sql = $Sql;

$this->fetch = $Fetch;

$this->param = $Param;

//数据库信息存放在配置文件里面,请自行修改成正确的路径和值

require($_SERVER['DOCUMENT_ROOT'] . '/configs/config.inc.php');

$this->dbhost = & $DBHost;

$this->dbuser = & $DBUser;

$this->dbpw = & $DBPassword;

$this->dbname = & $DBName;

}

public function Query()

{

$Mysqli = new mysqli($this->dbhost, $this->dbuser, $this->dbpw, $this->dbname);

if ($Mysqli->connect_errno)

{

echo '无法连接数据库';

return false;

}

$Mysqli->query('SET NAMES UTF8');

$Mysqli->begin_transaction(MYSQLI_TRANS_START_READ_ONLY);

$Stmt = $Mysqli->stmt_init();

$Stmt->prepare($this->sql);

if (count($this->param) > 0)

{

$Type = '';

for ($i = 0; $i < count($this->param); $i++)

{

if (is_double($this->param[$i]))

{

$Type .= 'd';

}

else if (is_int($this->param[$i]))

{

$Type .= 'i';

}

else if (is_string($this->param[$i]))

{

$Type .= 's';

}

else

{

$Type .= 'b';

}

}

$RefArg = array($Type);

for ($I = 0; $I < count($this->param); $I++)

{

$RefArg[] = & $this->param[$I];

}

call_user_func_array(array($Stmt, 'bind_param'), $RefArg);

}

if (!$Stmt->execute())

{

echo '读取数据库时发生错误:'. $Stmt->error;

echo $this->sql;

print_r($this->param);

$Mysqli->rollback();

return false;

}

$Mysqli->commit();

if (strtolower(substr($this->sql, 0, 6)) == 'select')

{

$this->res = $Stmt->get_result();

$Stmt->free_result();

return $this->GetRes();

}

else

{

$Stmt->free_result();

return true;

}

}

public function GetRes()

{

switch(strtolower($this->fetch))

{

case 'all':

$row = $this->res->fetch_all();

break;

case 'array':

$row = $this->res->fetch_array();

break;

case 'assoc':

$row = $this->res->fetch_assoc();

break;

case 'field':

$row = $this->res->fetch_field();

break;

case 'row':

$row = $this->res->fetch_row();

break;

default:

echo 'Please select a row return mode.';

exit;

}

return $row;

}

public function NumRow()

{

if (isset($this->res))

{

return $this->res->num_rows;

}

else

{

return false;

}

}

}

?>

PDO_MYSQL版:

class DB

{

var $SQL;

var $Fetch;

var $Param = array();

public function __construct($SQL, $Fetch, $Param)

{

//数据库信息存放在配置文件里面,请自行修改成正确的路径和值

require($_SERVER['DOCUMENT_ROOT'] . '/configs/config.inc.php');

$this->DBHost = & $DBHost;

$this->DBUser = & $DBUser;

$this->DBPW = & $DBPassword;

$this->DBName = & $DBName;

$this->SQL = $SQL;

$this->Fetch = $Fetch;

$this->Param = $Param;

}

public function Query()

{

try

{

$Pdo = new PDO('mysql:host=' . $this->DBHost . ';dbname=' . $this->DBName, $this->DBUser, $this->DBPW);

$Pdo->query('SET NAMES UTF8');

$Pdo->beginTransaction();

$Stmt = $Pdo->prepare($this->SQL);

if (count($this->Param) > 0)

{

for ($I = 0; $I < count($this->Param); $I++)

{

$Stmt->bindParam($I + 1, $this->Param[$I]);

}

}

if (!$Stmt->execute())

{

echo '读取数据库时发生错误:' . $Stmt->errorinfo()[2];

$Pdo->rollback();

return false;

}

$Pdo->commit();

if (strtolower(substr($this->SQL, 0, 6)) == 'select' || strtolower(substr($this->SQL, 0, 4)) == 'desc')

{

$this->Res = $Stmt;

return $this->GetRes();

}

else

{

return true;

}

}

catch (PDOException $e)

{

echo '无法连接数据库';

$Pdo->rollback();

return false;

}

}

public function GetRes()

{

switch(strtolower($this->Fetch))

{

case 'all':

$Row = $this->Res->fetchAll(PDO::FETCH_ASSOC);

break;

case 'array':

$Row = $this->Res->fetch(PDO::FETCH_BOTH);

break;

case 'assoc':

case 'field':

$Row = $this->Res->fetch(PDO::FETCH_ASSOC);

break;

case 'row':

$Row = $this->Res->fetch(PDO::FETCH_NUM);

break;

default:

echo 'Please select a row return mode.';

exit;

}

return $Row;

}

public function NumRow()

{

if (isset($this->Res))

{

return $this->Res->num_rows;

}

else

{

return false;

}

}

}

?>

使用方法:

$DB = new DB(SQL语句, 结果集方式, array(要绑定的参数);

$DB->Query();

注意!!!SQL语句用 ? 代替要查询的参数!!!SQL注入漏洞是因为SQL语句拼接了变量!!!

PS:如果不能改框架,那还是洗洗睡吧,时间只会淘汰墨守成规的人和过时的技术。

别指望正则过滤SQL语句能彻底杜绝SQL注入,PHP7放弃MySQL扩展的原因就是因为这个扩展有安全漏洞!

小马逛吃
关注
nginxmysql注入_nginx的安全之通过nginx+lua的waf火墙sql注入和cc攻击
weixin_36314729的博客
01-29 500
2.测试页面准备:登陆页面html[root@node1 code]#cat /opt/app/code/login.htmljeson sql注入演示用户名:密码验证页面validate.php[root@node1 code]#cat /opt/app/code/validate.php
concat mysql sql注入_sql注入总结(一)--2018自我整理
weixin_42516040的博客
12-29 276
SQL注入总结前言:本文和之后的总结都是进行总结,详细实现过程细节可能不会写出来~所有sql语句均是mysql数据库的,其他数据库可能有些函数不同,但是方法大致相同0x00 SQL注入原理:SQL注入实质上是将用户传入的参数没有进行严格的处理拼接sql语句的执行字符串中。可能存在注入的地方有:登陆页面,搜索,获取HTTP头的信息(client-ip , x-forward-of),订单处理(二次注...
mysql正则注入_如何SQL注入
weixin_35339134的博客
02-02 544
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
mysql注入插件_MyBatis怎么SQL注入
weixin_39801202的博客
01-28 252
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL injection - WikipediaSQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做...
mysql如何sql注入
XiWangDeFengChe的博客
01-26 4989
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
SQL注入防范措施
热门推荐
qq_35420342的博客
05-20 1万+
通过正则表达校验用户输入首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符。然后继续校验输入数据中是否包含SQL语句的保留字,如:WHERE,EXEC,DROP等。现在让我们编写正则表达式来校验用户的输入吧,正则表达式定义如下:private static readonly Regex RegSystemThreats = new Regex(@"...
止xss和sql注入:JS特殊字符过滤正则
10-27
防范SQL注入同样需要对用户输入进行严格检查和转义。 现在,我们来看提供的JavaScript函数`stripscript`,它的目的是过滤掉可能导致XSS攻击的特殊字符。这个函数使用了正则表达式`/%--`...`~/g`来匹配一系列的特殊...
MySQL 及 SQL 注入防范方法
09-10
MySQL作为流行的数据库管理系统之一,自然也是SQL注入攻击的主要目标。因此,了解SQL注入的原理、御方法对于开发安全的应用程序至关重要。 为了防范SQL注入,开发者必须遵循一系列安全实践,下面将详细介绍这些...
mysql+limit+sql注入_sql注入之limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 661
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
PHP中全面阻止SQL注入式攻击
09-15
PHP中全面阻止SQL注入式攻击 出于无赖,我也是办法了,要搞点分用啦!
sql注入理解及防范
qq_41386300的博客
05-27 737
百度百科概念:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就...
sql 盲注之正则表达式攻击
灰蜗牛
08-31 780
sql 盲注之正则表达式攻击 MYSQL 5+ 我们都已经知道,在MYSQL 5+中 information_schema库中存储了所有的库名,表名以及字段名信息。 故攻击方式如下:1、判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。 注:正则表达式中 ^[a-z] 表示字符串中开
sql注入/xss/csrf御方法笔记
晚风不及你
07-15 710
SQL注入 1.简介 SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。 2.SQL注入的危害 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;网页篡改:通过操作数据库对特定网页进行篡改;数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改;服务器被远程控制,被安装后门;删除和修改数据库表信息. 3.SQL注入的方式 通常情况下,SQL注入的位置包括: 表单提交,主要是POST请求,也包括GE
MySQL 安全及止 SQL 注入攻击
最新发布
wjq008的专栏
04-27 1736
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
mysqlsql注入的方式
czq159951的博客
08-24 1239
正常SQL语句: select * from users where name='zhangsan' and password=md5('12345678') 不正常执行的sql语句: 用户名:’ or 1 # select * from users where name='' or 1 #' and password=md5('789789') 用户名:’ or 1 or ’ select * from users where name='' or 1 or '' and password=md5('
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6644
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入正则表达式
绅士jiejie的博客
07-16 2651
SQL注入正则表达式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值