mysql语句防止攻击_php有效防止SQL注入攻击的三种方法

最新推荐文章于 2024-01-09 07:14:03 发布
最新推荐文章于 2024-01-09 07:14:03 发布
阅读量323 收藏
点赞数
文章标签: mysql语句防止攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33279969/article/details/113465575
版权

SQL注入是一种代码注入技术,用通过表单域插入的恶意SQL语句来攻击Web应用程序,并且通常会提取重要的数据库信息。这是一个非常关键的安全漏洞,它可以完全破坏数据库,所以最需要使用适当的代码来保护应用程序。

本文章向大家介绍php有效防止SQL注入攻击的三种方法。

方法一:使用转义字符串mysql_real_escape_string

开发人员通常使用PHP函数mysql_real_escape_string来过滤输入数据。从PHP 5.5.0起,mysql_real_escape_string和mysql扩展名已被弃用。所以我们将使用mysqli extension和mysqli :: escape_string函数。其中不必要的额外字符被删除然后传递给执行

$uid= mysqli_real_escape_string($uid);

// Object method of calling

$uid= $mysqli->escape_string($uid);

php实例代码:

// Full Sample code

//Creating connection and checkng for errors

//Error Statement

//Escaping the string and execution

/* create connection */

$mysqli = new mysqli("localhost", "username", "password", "database");

/* check connection */

if (mysqli_connect_errno()) {

printf("Connect failed: %s\n", mysqli_connect_error());

exit();

}

$city = "'s hyderabad";

/* this query will fail, because we didn't escape $city */

if (!$mysqli->query("INSERT into city (Name) VALUES ('$city')")) {

printf("Error: %s\n", $mysqli->sqlstate);

}

$city = $mysqli->escape_string($city);

/* this query with escaped $city will work */

if ($mysqli->query("INSERT into myCity (Name) VALUES ('$city')")) {

printf("%d Row inserted.\n", $mysqli->affected_rows);

}

$mysqli->close();

?>

方法二:使用mysqli的prepare语句

当使用准备好的语句和参数化查询时,数据库服务器与任何参数分开发送和解析的这些SQL语句。以这种方式,攻击者不可能注入恶意SQL。

实现代码:

// Create a Connection

$mysqli = new mysqli("server", "username", "password", "db_name");

$uname = $_POST["username"];

//check that $stmt creation succeeded

// "s" means the database expects a string

$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");

$stmt->bind_param("s", $uname);

$stmt->execute();

$stmt->close();

$mysqli->close();

?>

当通过准备数据库服务器编译的sql语句并指定参数时,我们告诉数据库引擎来过滤参数。之后调用execute语句来将参数与语句进行组合。重要的是要注意,这些参数与编译语句组合而不是sql string。

使用准备语句的另一个好处是,如果在同一个会话中多次执行相同的语句,那么只会对其进行解析和编译一次,从而提高速度。

方法三:使用PDO

从PHP 5.1开始,有一个更好的方法。它使用PDO ie。PHP数据对象。它是一个数据库访问层,提供了访问多个数据库的统一方法。它提供了准备语句和处理对象的方法,这将使您更有效率!

$stmt = $pdo->prepare('SELECT * FROM USERS WHERE name = :name');

$stmt->execute(array('name' => $name));

foreach ($stmt as $row)

{

/* do something here */

}

爱吃三明治
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击 php防止SQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细介绍这三个方法防止SQL注入攻击中的效果及区别。 mysql_real_escape_stringsql注入攻击 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 在有些时候需要将mysql_real_escape_stri
PHP防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php防止SQL注入的最佳解决方法php防止
mysql注入 php_PHP+Mysql防止SQL注入方法
weixin_35698035的博客
01-18 250
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下相关mysql视频教程推荐:《mysql教程》方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users wher...
php+MySQL防止sql注入
php-yyds
11-12 393
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效防止SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
PHPMySQL注入御代码_PHP+SQL 注入攻击的技术实现以及预办法
weixin_29661797的博客
02-08 166
1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off2. 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。为什么说第二点最为重要?因为如...
mysql防止php注入,PHP+Mysql防止SQL注入方法
weixin_31423913的博客
03-28 197
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users where username='".mysql_rea...
php中的sql注入
ocean2017的博客
03-17 1274
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
网络安全之MySql攻击
FaceMarkMan的博客
01-09 990
如果在 Windows 系统下的话应该就是最高权限了,执行一些 net user 增加用户的命令应该都是可以成功的现在文章思路慢慢变成了 MySQL 可操控文件怎么将这个危害扩大影响的问题了。可以往管理员桌面上写一个伪造的 CS 木马,如果对方 Office 有漏洞的话可以写入一个带后门的 word 文件,也可以篡改用户常执行的文件等 这样发散开来就变的很广了,国光这里不再一一叙述了,总之实际场景实际分析,大家在渗透的时候也可以多多思考更多的可能性,万一就成功了呢。
MySQL安全漏洞和攻击方式及预措施
vipfanxu的博客
09-05 1141
MySQL的安全漏洞和攻击方式各不相同,然而,通过采取恰当的预措施,可以提高MySQL的整体安全性。最重要的是,数据库管理员应当保持对新的安全漏洞和攻击方式的关注,并及时采取措施应对。MySQL是一种流行的开源关系型数据库管理系统,被广泛用于网站和应用程序的后端数据存储,然而,正因为其广泛使用,也使得MySQL成为黑客和恶意攻击者的目标。缓冲区溢出是一种利用软件漏洞的攻击方式,黑客通过向MySQL发送超长的数据或恶意数据,导致MySQL内部的缓冲区溢出,从而可以执行恶意代码或控制数据库。
mysqlsql注入的方式
czq159951的博客
08-24 1194
正常SQL语句: select * from users where name='zhangsan' and password=md5('12345678') 不正常执行的sql语句: 用户名:’ or 1 # select * from users where name='' or 1 #' and password=md5('789789') 用户名:’ or 1 or ’ select * from users where name='' or 1 or '' and password=md5('
PHPSQL注入攻击[一]
12-17
SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何范。 看这个例子: // supposed input $name = ...
PHP防止SQL注入方法详解
01-20
 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST[‘user_input’]; mysql_query(“INSERT ...
phpmysql数据库的sql注入与全面
07-27
SQL Injection问题在ASP上闹得沸沸扬扬,php也不免于难。为此我们也会采取一些范。通过具体实例来描述在php中的mysqlsql注入问题以及怎样去范。
自动驾驶运动规划(Motion Planning).pdf
04-26
自动驾驶运动规划(Motion Planning)问题分析
财务数据分析模型6.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
人力资源数据分析看版.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
重庆大学2011-2012(2)数字电子技术II.pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
随波逐流CTF编码工具 V5.6 20240424.rar
04-26
由随波逐编写开发,CTF编码工具为用户提供丰富的离线加密解密功能,还可以对字符编码进行转换,文件隐写查看,用户可以根据自己的需求来使用功能,非常实用,能够提高大家的工作效率!
重庆大学电磁场原理08年考题(A).pdf
最新发布
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
mysql如何防止sql注入
08-22
MySQL可以通过以下几种方法防止SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值