PHP程序中的sql语句防止POST数据注入问题

最新推荐文章于 2021-10-10 17:31:29 发布
最新推荐文章于 2021-10-10 17:31:29 发布
阅读量631 收藏
点赞数
文章标签: php 数据库
原文链接:https://yq.aliyun.com/articles/514222
版权

<?php
/*
本实例模仿用户登录时查询数据库的场景

$sql="select * from user where username={$_POST['username']} and userpass=".md5($_POST['userpass']);

mysql_real_escape_string($unescaped_string) 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集
本函数将 unescaped_string 中的特殊字符转义,并计及连接的当前字符集,因此可以安全用于 mysql_query()。 

sprintf() 函数把格式化的字符串写入一个变量中。

sprintf(format,arg1,arg2,arg++)
参数 format 是转换的格式,以百分比符号 ("%") 开始到转换字符结束。下面的可能的 format 值:

   %% - 返回百分比符号
   %b - 二进制数
   %c - 依照 ASCII 值的字符
   %d - 带符号十进制数
   %e - 可续计数法(比如 1.5e+3)
   %u - 无符号十进制数
   %f - 浮点数(local settings aware)
   %F - 浮点数(not local settings aware)
   %o - 八进制数
   %s - 字符串
   %x - 十六进制数(小写字母)
   %X - 十六进制数(大写字母)
*/



$sql="select * from user where username=".mysql_real_escape_string($_POST['username'])." and userpass=".md5(mysql_real_escape_string($_POST['userpass']));


$sql=sprintf("select * from user where username='%s' and userpass='%s'",mysql_real_escape_string($_POST['username']),md5(mysql_real_escape_string($_POST['userpass']));

?>










本文转自 hgditren 51CTO博客,原文链接:http://blog.51cto.com/phpme/1391300,如需转载请自行联系原作者
weixin_33849942
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php防止SQL注入详解及防范
12-19
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或转义用户输入,导致恶意构造的SQL语句被执行,从而可能泄露、修改或删除数据库中的敏感信息。PHP是Web开发中常用的脚本语言,因此理解如何在PHP中...
PHP防止SQL注入的方法
tongluren381的博客
10-20 3750
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php拒绝post,php – .htaccess拒绝所有但POST不使用Objective-C
weixin_35157304的博客
04-10 238
我一直在寻找拒绝所有HTTP方法但POST的方法.是的,我意识到这可能不会阻止很多,但我想让它工作.我遇到了一种拒绝所有但使用.htaccess文件发布的方法:RewriteEngine OnRewriteCond %{REQUEST_METHOD} !^POSTRewriteRule ^.*$/home/user/public_html/folder/bad_request.php现在在我的iP...
php post注入,PHP程序中sql语句防止POST数据注入问题
weixin_28725553的博客
03-10 188
/*本实例模仿用户登录时查询数据库的场景$sql="select * from user where username={$_POST['username']} and userpass=".md5($_POST['userpass']);mysql_real_escape_string($unescaped_string) 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集本...
php连接数据库并执行sql语句查询
weixin_46475950的博客
05-27 1685
学习记录: php连接数据库并执行sql语句查询: <?PHP $date_db='test1'; $conn=mysqli_connect("localhost","root","root");//连接字符串 $comm=mysqli_select_db($conn,$date_db);//利用连接字符串选择数据库 $username = addslashes($_POST['username']);//得到数据 $password = addsla...
discuz的php防止sql注入函数
12-17
4. `str_check()`函数:这个函数用于过滤提交的字符串,将特定的字符如下划线 `_` 和百分号 `%` 转换为它们的转义形式,以防止这些字符在SQL语句中被误用。 5. `post_check()`函数:与`str_check()`类似,但更专注...
php防止sql注入代码实例
12-18
PHP编程中,防止SQL注入至关重要,因为不正确的数据处理可能导致数据泄露、数据篡改甚至整个系统的瘫痪。以下是一些关于如何在PHP防止SQL注入的详细解释和实例。 1. **使用预处理语句和参数化查询** PHP提供了...
360提供的phpsql注入代码修改类
05-02
SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、删除数据库中的敏感信息,甚至完全控制整个系统。为了防止SQL注入,我们需要遵循以下原则: 1. 使用...
php防止SQL注入的最佳解决方法
01-20
如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:复制代码 代码如下:$unsafe_variable = $_POST[‘user_input’];mysql_query(“INSERT INTO table (column) VALUES ...
PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1510
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
post注入过滤 php,PHPPOST参数过滤,防止SQL注入
weixin_30139213的博客
03-12 850
php整站防sql注入程序,对于MySQL用户,可以使用函数mysql_real_escape_string( ),此函数需要注意编码问题,另外还有一个函数mysql_escape_string( )也可以使用,尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。当所有用于建立一个SQL语句数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。...
php防止post注入恶意代码,[方法分享]利用输入框进行恶意代码注入
weixin_39859954的博客
03-16 503
恶意代码注入虽然不是一个新的技术,甚至与我们熟知的远程代码执行漏洞并无原理上的区别,但危害却是致命的。本文的场景独特,方法也挺有趣,希望对各位freebufer们有所启发。 闲话少说,现在让我们来看看下图:这是一个提供查询DNS服务的网站接口,用户可以在输入框中键入IP或主机名来进行查询。 他的代码实现也并不复杂,如下:...
PHP POST, GET 参数过滤,预防sql注入函数
ddbqxd5560的博客
06-21 573
1、 实际过滤函数 可适当修改其中的正则表示式 1 static public function filterWords(&$str) 2 { 3 $farr = array( 4 "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object...
php 通用防post代码,php:如何防止$POST中的SQL注入
weixin_36210904的博客
03-10 371
我有一些php脚本,我认为这有很多错误。因为我在连接和SQL注入方面的知识有限。第一次我没有任何麻烦,因为这个脚本使用PHP Mysql。但当我尝试转换成Interbase后,我遇到了很多麻烦。请帮忙找出我的错。以下是我的问题:$sLimit = "";if ( isset( $_POST['iDisplayStart'] ) ){$sLimit = " FIRST ".$_POST['iDisp...
php过滤提交数据 防止sql注入攻击无标题笔记
09-30 375
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
sql注入post参数注入
Vinson的博客
09-29 4518
request.raw抓取的数据包头,最高水平最高风险,用Mysql数据库dbms,不再询问--batch 用Burpsuite抓取,复制包头,gedit request.raw复制进去 sqlmap -r request.raw --level 5 --risk 3 --dbs --dbms mysql --batch sqlmap -r request.raw --level ...
确保 PHP 应用程序的安全 -- 不能违反的四条安全规则
phphot
08-22 2128
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全的
(学习)SQL注入-POST注入
热门推荐
Huang921的博客
11-21 1万+
SQL注入-POST注入实践
php 过滤表单数据防止sql 注入代码
最新发布
05-27
以下是一个简单的 PHP 代码示例,用于过滤表单数据防止 SQL 注入攻击: ``` // 获取用户提交的表单数据 $name = $_POST['name']; $email = $_POST['email']; $message = $_POST['message']; // 过滤用户输入数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值