php 写入数据库过滤,如何安全过滤用户提交的数据提交到数据库

最新推荐文章于 2022-01-12 08:37:19 发布
最新推荐文章于 2022-01-12 08:37:19 发布
阅读量236 收藏
点赞数
文章标签: php 写入数据库过滤

sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?

回复内容:

sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?

可以使用 mysql_real_escape_string() 对字符串进行转义,然后再放进 SQL。

$name = mysql_real_escape_string($_POST['name']);

mysql_query('SELECT * FROM `users` WHERE `name` = "'.$name.'"');

//改进版。防 SQL 注入,同时屏蔽 _ 和 % 字符

function escape($str) {

$str = mysql_real_escape_string($str);

$str = str_replace(['_', '%'], ['\\_', '\\%'], $str);

return $str;

}

这里有官方介绍:http://www.php.net/manual/zh/function.mysql-real-escape-string.php

个人建议还是使用一个WEB框架,常见的WEB框架都有完善的防注入机制。

例如:

简单、快速入门的:CodeIgniter

功能更全面的:Yii (这个官网有时会被墙)

select * from users where name = @name

参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

Elder Ha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单的php写入数据库类代码分享
01-20
PHP编程中,数据库操作是常见的任务之一,而本文分享的是一段简单的PHP代码,用于实现数据过滤、SQL语句构建以及数据库查询。这里主要涉及三个类:`input_filter`、`made_sql`和`mysql`。接下来,我们将详细讨论...
ajax php 实现写入数据库
10-29
在本示例中,我们探讨的是如何使用Ajax与PHP结合,实现在网页上无刷新地向数据库写入数据。这个功能常用于用户交互性较强的Web应用,比如创建一个类似于生词本的应用,允许用户存储和查看知识点。 首先,HTML部分...
MYSQL使用正则表达式过滤数据
12-15
一、正则与LIKE的区别  Mysql的正则表达式仅仅使SQL语言的一个子集,可以匹配基本的字符、字符串。 例如:select * from wp_posts where post_name REGEXP’hello’,可以检索出列post_name中所有包含hello的行 REGEXP’.og’ .是正则表达式中里一个特殊的字符。它表示匹配一个字符,因此,dog,hog,mog等等都能匹配。 注意: 关于LIKE和REGEXP的区别:LIKE匹配整个列。如果被匹配的文本仅在列值中出现,LIKE并不会找到它,相应的行也不会返回(当然,使用通配符除外)。而REGEXP在列值内进行匹配,如果
确保 PHP 应用程序的安全 -- 不能违反的四条安全规则
phphot
08-22 2128
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全
PHP安全编程之过滤用户输入
爱代码也爱生活
08-09 3410
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。 我所指的过滤输入是指三个不同的步骤: 识别输入过滤输入区分已过滤及被污染数据 把识别输入作为第一步是因为如果你不知道它是什么,你也就不能正确地过滤它。输入是指所
php mysql入库过滤_php过滤提交数据 防止sql注入***(1)
weixin_30284931的博客
02-04 252
在SQL注入*** 中,用户通过操纵表单或 GET 查询字符串,将信息添加到数据库查询中。例如,假设有一个简单的登录数据库。这个数据库中的每个记录都有一个用户名字段和一个密码字段。构建一个登录表单,让用户能够登录。规则 1:绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输...
浅谈PHP之对于用户提交数据过滤
weixin_30344131的博客
01-29 155
自己刚学了PHP,尝试去看一些网上的代码,还好可以大概看懂, 身为一个网络安全爱好者,当然关心PHP开发所引发的安全问题, 作为新手应该首先注意的是用户提交内容,他们很有可能是大灰阔哦! 看如下一个简单的登入表单 <html> <head> <title>Login</title> </head> &lt...
php桌面中心(二) 数据库写入
12-17
2. **POST方法**:表单的`method="post"`属性指示当用户提交表单时,数据将以POST方式发送到指定的PHP脚本(在这种情况下是`wsql.php`)。POST方法允许发送大量数据,且数据不会显示在浏览器的URL栏中,增加了安全性...
php中将数组转成字符串并保存到数据库中的函数代码
12-19
PHP编程中,有时我们需要将数组转换为字符串以便存储到数据库中,或者相反,从数据库中取出字符串再还原为数组。这是因为大多数关系型数据库系统不支持数组作为原生数据类型直接存储。以下介绍的两个PHP函数`...
php数据库写入操作类.zip
07-11
一个php数据库写入操作类,有三个分类 1,过滤输入,轻量级的 class input_filter,负责将参数,如$_GET,$_POST 这些过滤,返回值类型为 数组,用作 made_sql 类的参数. 2,转换成SQL语句 class made_...
php常用的安全过滤函数集锦
12-19
虽然各种开发框架给我们提供了很好的安全的处理方式,但是,我们还是要注意一下安全问题的。  原因简单:很多小的功能和项目是用不到框架的,我们需要自己解决安全问题! ①常用的安全函数有哪些: 复制代码 代码如下: mysql_real_escape_string()  addslashes() ②这些函数的作用: mysql_real_escape_string()和addslashes()函数都是对数据中的 单引号、双引号进行转义!也就是防止sql注入!  但是mysql_real_escape_string()考虑了字符集,更加的安全一些!  经过查阅相关的资料,可以得出一个结论:当前的字符
PHP 过滤器 以及 Mysql数据库链接
小白本无忧
01-31 234
A、 函数和过滤器 filter_var() - 通过一个指定的过滤器来过滤单一的变量 filter_var_array() - 通过相同的或不同的过滤器来过滤多个变量 filter_input - 获取一个输入变量,并对它进行过滤 filter_input_array - 获取多个输入变量,并通过相同的或不同的过滤器对它们进行过滤 $int = 123;
mysql怎么滤空_如何在PHP过滤mysql行,其中数据为空或0
weixin_42364609的博客
02-02 240
我试图找到有一种有效的方法来执行查询,该查询可以忽略任何列的值为0或空的数据行我当前的查询如下所示:$query = "SELECT AVG(concept1) AS c1, AVG(concept2) AS c2, AVG(concept3) AS c3, AVG(concept4) AS c4, AVG(concept5) AS c5, AVG(concept6) AS c6 FROM Key...
php文件安全过滤,PHP字符串安全过滤全攻略
weixin_28722991的博客
03-28 330
php安全过滤是防止注入的第一道防线,不得大意。提到PHP安全过滤,不得不提的两个东西是`set_magic_quotes_runtime` 和 `magic_quotes_gpc`。`set_magic_quotes_runtime()` 可以让程序员在代码中动态开启或关闭 `magic_quotes_runtime`,`set_magic_quotes_runtime(1)` 表示开启,`s...
会员登录系统之过滤
10-19 421
今天的主要内容是过滤。就是在用户注册的时候过滤掉一些非法字符和一些不合法的格式等等。   //实现过滤接受到的表单数据的功能 //把一个带有特殊符号的字符串过滤普通的字符串 // //定义函数check_form //参数$form:是一个包含调用该函数的页面中所有input标签的数组 //   function check_form($form){   //原因 //
php提交数据数据库一定记得要注意该加htmlspecialchars()的一定要加
gayayzy的专栏
02-10 2178
php提交数据数据库一定记得要注意该加htmlspecialchars()的一定要加,像这样的小错误: 如果没加那个函数,我就提交这样的数据: 这样的数据。 这样的结果是不会让浏览者中毒的,而是会让页面在两秒后自动刷新并跳转到http://www.gayayang.com这个网站。 记住这句代码:很有用的。
简单登陆界面(信息有效性过滤)
weixin_34329187的博客
08-24 88
2019独角兽企业重金招聘Python工程师标准>>> ...
MySQL必知必会——第六章过滤数据
Jerome_Tong的博客
01-12 634
本章将讲授如何使用SELECT语句的WHERE子句指定搜索条件。
输入值/表单提交参数过滤有效防止sql注入的方法
weixin_34417183的博客
06-24 227
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法: 代码如下: /** * 过滤sql与php文件操作的关键字 * @param string $string * @return string * @author zrp <zouruiping668@sina.com> */ private function filter_keywo...
php获取ip写入数据库
最新发布
05-30
可以使用PHP中的$_SERVER['REMOTE_ADDR']来获取客户端的IP地址,并将其写入数据库中。 以下是一个简单的示例代码: ``` // 连接数据库 $conn = mysqli_connect("localhost", "username", "password", "dbname");...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值