php 写入数据库过滤,如何安全过滤用户提交的数据提交到数据库

最新推荐文章于 2021-03-28 04:45:25 发布
最新推荐文章于 2021-03-28 04:45:25 发布
阅读量236 收藏
点赞数
文章标签: php 写入数据库过滤

sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?

回复内容:

sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?

可以使用 mysql_real_escape_string() 对字符串进行转义,然后再放进 SQL。

$name = mysql_real_escape_string($_POST['name']);

mysql_query('SELECT * FROM `users` WHERE `name` = "'.$name.'"');

//改进版。防 SQL 注入,同时屏蔽 _ 和 % 字符

function escape($str) {

$str = mysql_real_escape_string($str);

$str = str_replace(['_', '%'], ['\\_', '\\%'], $str);

return $str;

}

这里有官方介绍:http://www.php.net/manual/zh/function.mysql-real-escape-string.php

个人建议还是使用一个WEB框架,常见的WEB框架都有完善的防注入机制。

例如:

简单、快速入门的:CodeIgniter

功能更全面的:Yii (这个官网有时会被墙)

select * from users where name = @name

参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

Elder Ha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单的php写入数据库类代码分享
01-20
PHP编程中,数据库操作是常见的任务之一,而本文分享的是一段简单的PHP代码,用于实现数据过滤、SQL语句构建以及数据库查询。这里主要涉及三个类:`input_filter`、`made_sql`和`mysql`。接下来,我们将详细讨论...
ajax php 实现写入数据库
10-29
在本示例中,我们探讨的是如何使用Ajax与PHP结合,实现在网页上无刷新地向数据库写入数据。这个功能常用于用户交互性较强的Web应用,比如创建一个类似于生词本的应用,允许用户存储和查看知识点。 首先,HTML部分...
MYSQL使用正则表达式过滤数据
12-15
一、正则与LIKE的区别  Mysql的正则表达式仅仅使SQL语言的一个子集,可以匹配基本的字符、字符串。 例如:select * from wp_posts where post_name REGEXP’hello’,可以检索出列post_name中所有包含hello的行 REGEXP’.og’ .是正则表达式中里一个特殊的字符。它表示匹配一个字符,因此,dog,hog,mog等等都能匹配。 注意: 关于LIKE和REGEXP的区别:LIKE匹配整个列。如果被匹配的文本仅在列值中出现,LIKE并不会找到它,相应的行也不会返回(当然,使用通配符除外)。而REGEXP在列值内进行匹配,如果
确保 PHP 应用程序的安全 -- 不能违反的四条安全规则
phphot
08-22 2128
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全
PHP安全编程之过滤用户输入
爱代码也爱生活
08-09 3410
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。 我所指的过滤输入是指三个不同的步骤: 识别输入过滤输入区分已过滤及被污染数据 把识别输入作为第一步是因为如果你不知道它是什么,你也就不能正确地过滤它。输入是指所
php mysql入库过滤_php过滤提交数据 防止sql注入***(1)
weixin_30284931的博客
02-04 252
在SQL注入*** 中,用户通过操纵表单或 GET 查询字符串,将信息添加到数据库查询中。例如,假设有一个简单的登录数据库。这个数据库中的每个记录都有一个用户名字段和一个密码字段。构建一个登录表单,让用户能够登录。规则 1:绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输...
浅谈PHP之对于用户提交数据过滤
weixin_30344131的博客
01-29 155
自己刚学了PHP,尝试去看一些网上的代码,还好可以大概看懂, 身为一个网络安全爱好者,当然关心PHP开发所引发的安全问题, 作为新手应该首先注意的是用户提交内容,他们很有可能是大灰阔哦! 看如下一个简单的登入表单 <html> <head> <title>Login</title> </head> &lt...
php桌面中心(二) 数据库写入
12-17
2. **POST方法**:表单的`method="post"`属性指示当用户提交表单时,数据将以POST方式发送到指定的PHP脚本(在这种情况下是`wsql.php`)。POST方法允许发送大量数据,且数据不会显示在浏览器的URL栏中,增加了安全性...
php中将数组转成字符串并保存到数据库中的函数代码
12-19
PHP编程中,有时我们需要将数组转换为字符串以便存储到数据库中,或者相反,从数据库中取出字符串再还原为数组。这是因为大多数关系型数据库系统不支持数组作为原生数据类型直接存储。以下介绍的两个PHP函数`...
php数据库写入操作类.zip
07-11
一个php数据库写入操作类,有三个分类 1,过滤输入,轻量级的 class input_filter,负责将参数,如$_GET,$_POST 这些过滤,返回值类型为 数组,用作 made_sql 类的参数. 2,转换成SQL语句 class made_...
EasyExcel 并发读取文件字段并进行校验,数据写入到新文件,批量插入数据数据库
09-29
下面我们将详细探讨如何使用EasyExcel实现并发读取文件字段、进行数据校验、将数据写入新文件以及批量插入到数据库的操作。 1. **EasyExcel介绍** EasyExcel是一款轻量级的Java Excel处理框架,它基于NIO和内存...
利用scrapy将爬到的数据保存到mysql(防止重复)
01-20
本文主要给大家介绍了关于scrapy爬到的数据保存到mysql(防止重复)的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。 1.环境建立  1.使用xmapp安装php, mysql ,phpmyadmin  2....
php中读写文件与读写数据库的效率比较分享
10-26
然而,对于大量数据的处理或复杂的查询需求,数据库的优势在于其强大的索引机制和优化策略,可以快速定位和过滤数据。 另一方面,文件系统读写操作也有其局限性。例如,如果文件数量巨大,查找特定文件可能会变得...
不用mysql数据,用txt作数据库php代码源码.zip
01-11
PHP需要确保适当的文件权限设置,并在读写时采取安全措施,如过滤用户输入防止注入。 6. **配置管理**:configs.php和config.php可能是配置文件,用于存储数据库连接信息(尽管在这个例子中不是传统数据库),或者...
php文本数据库留言板
12-09
5. **安全考虑**:虽然文本数据库比传统数据库更易受攻击,但通过PHP过滤和转义函数(如`htmlspecialchars`)可以防止SQL注入等安全问题。此外,文件权限设置也很重要,以防未经授权的访问或修改。 6. **优化与...
PHP 过滤器 以及 Mysql数据库链接
小白本无忧
01-31 234
A、 函数和过滤器 filter_var() - 通过一个指定的过滤器来过滤单一的变量 filter_var_array() - 通过相同的或不同的过滤器来过滤多个变量 filter_input - 获取一个输入变量,并对它进行过滤 filter_input_array - 获取多个输入变量,并通过相同的或不同的过滤器对它们进行过滤 $int = 123;
mysql怎么滤空_如何在PHP过滤mysql行,其中数据为空或0
weixin_42364609的博客
02-02 240
我试图找到有一种有效的方法来执行查询,该查询可以忽略任何列的值为0或空的数据行我当前的查询如下所示:$query = "SELECT AVG(concept1) AS c1, AVG(concept2) AS c2, AVG(concept3) AS c3, AVG(concept4) AS c4, AVG(concept5) AS c5, AVG(concept6) AS c6 FROM Key...
php文件安全过滤,PHP字符串安全过滤全攻略
weixin_28722991的博客
03-28 330
php安全过滤是防止注入的第一道防线,不得大意。提到PHP安全过滤,不得不提的两个东西是`set_magic_quotes_runtime` 和 `magic_quotes_gpc`。`set_magic_quotes_runtime()` 可以让程序员在代码中动态开启或关闭 `magic_quotes_runtime`,`set_magic_quotes_runtime(1)` 表示开启,`s...
会员登录系统之过滤
10-19 421
今天的主要内容是过滤。就是在用户注册的时候过滤掉一些非法字符和一些不合法的格式等等。   //实现过滤接受到的表单数据的功能 //把一个带有特殊符号的字符串过滤普通的字符串 // //定义函数check_form //参数$form:是一个包含调用该函数的页面中所有input标签的数组 //   function check_form($form){   //原因 //
php获取ip写入数据库
最新发布
05-30
可以使用PHP中的$_SERVER['REMOTE_ADDR']来获取客户端的IP地址,并将其写入数据库中。 以下是一个简单的示例代码: ``` // 连接数据库 $conn = mysqli_connect("localhost", "username", "password", "dbname");...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值