PHP实现防sql注入

最新推荐文章于 2021-12-19 19:53:15 发布

weixin_34241036

最新推荐文章于 2021-12-19 19:53:15 发布

阅读量98

点赞数

文章标签： php 数据库

原文链接：http://www.cnblogs.com/xiaoliwang/p/7965731.html

版权

在查询数据库时需要防止sql注入

实现的方法：

PHP自带了方法可以将sql语句转义，在数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。

string addslashes ( string $str )

该函数返回一个字符串

范例

Example #1 一个 addslashes() 例子

<?php
$str = "Is your name O'reilly?";

// 输出： Is your name O\'reilly?
echo addslashes($str);
?>

ThinkPHP自动给提供了安全防护，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string）

要有效的防止SQL注入问题，官方建议：

查询条件尽量使用数组方式，这是更为安全的方式；
如果不得已必须使用字符串查询条件，使用预处理机制；
使用自动验证和自动完成机制进行针对应用的自定义过滤；
如果环境允许，尽量使用PDO方式，并使用参数绑定。

查询条件预处理

　　这种方式类似于在查询语句中放入一个占位符，然后通过数组的形式传入参数

例如：

$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

转载于:https://www.cnblogs.com/xiaoliwang/p/7965731.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34241036

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

防SQL注入的php代码

08-24

防SQL注入的php,通用防注入类

使用PHP实现防止sql注入功能

热门推荐

zHHHe的专栏

08-03

1万+

这是StackOverFlow上一个投票非常多的提问 How to prevent SQL injection in PHP? 我把问题和赞同最多的答题翻译了下来。本人翻译水平很渣，请读者见谅。提问：如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击，举个例子： $unsafe_variable = $_POST['user_input']; mysqli_q

PHP防止SQL注入

战国墨竹的博客

06-12

908

我们在查询数据库时，出于安全考虑，需要过滤一些非法字符防止SQL恶意注入，请看一下函数：复制代码代码如下: function injCheck($sql_str) { $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str); ...

如何在PHP中防止SQL注入？

qianfeng_php的博客

12-22

313

为什么会有注入漏洞呢？因为用户可以输入value'); DROP TABLE table;-- 然后查询语句就变成了这样 INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')· 1 到底我们能做什么去防止sql注入呢？

php中防止SQL注入的方法

weixin_34100227的博客

12-13

436

此文转载自网络，对内容有作删减。旨在提供几点思路。原文：http://www.cnblogs.com/jianqingwang/p/6067967.html 什么是SQL注入？ SQL注入大部分情况下都是由于并没有对用户提交的数据、URL参数等进行过滤，而恰恰在这些未被过滤的参数或数据中存在了sql执行语句，最终导致数据库的数据被篡改、被导出等风险。怎样防止？【一、在服务器端配置】安全，PH...

使用PHP实现防止sql注入功能1

08-08

在PHP中，可以采取多种方法来防止SQL注入，本案例主要介绍了两种：PDO的`quote()`方法和`prepare()`预处理语句。 1. **PDO的`quote()`方法**： `PDO::quote()`函数用于将字符串引号并转义特殊字符，以确保输入的...

360提供的php防sql注入代码修改类

05-02

总的来说，"360提供的php防sql注入代码修改类"是一个实用的工具，旨在帮助开发者提高PHP应用的安全性，减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类，我们可以更好地保护我们的网站和用户数据。在实践中...

PHP中防止SQL注入实现代码

10-28

以下是对PHP中防止SQL注入实现的详细解释： 1. **理解SQL注入**： SQL注入攻击通常发生在应用程序将用户输入的数据直接拼接到SQL查询中，而不进行任何验证或转义。攻击者可以通过输入特定的字符串来改变查询的逻辑...

PHP简单实现防止SQL注入的方法

01-20

本文实例讲述了PHP简单实现防止SQL注入的方法。分享给大家供大家参考，具体如下：方法一：execute代入参数 <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $...

PHP下escape解码函数的实现方法

12-18

GB2312编码：复制代码代码如下: function unescape($str) { $str = rawurldecode($str); preg_match_all(“/%u.{4}|&#x.{4};|&#d+;|.+/U”,$str,$r); $ar = $r[0]; foreach($ar as $k=>$v) { if(substr($v,0,2) == “%u”) $ar[$k] = iconv(“UCS-2″,”GBK”,pack(“H4”,substr($v,-4))); elseif(substr($v,0,3) == “&#x”) $ar[$k] = iconv(“

PHP SQL注入攻击与防御

qq27898的博客

03-22

1万+

PS：下章节我会就XSS/CSRF写一篇文章，还请各位关注1.什么是SQL注入攻击？百度百科：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是...

PHP防注入查询方法探讨

creeker的博客

12-19

194

我们在使用PHP开发时，为了安全起见，需要使用防SQL注入的查询数据集，下面是本人写的查询案例仅供参考 $stmt = $conn->prepare('SELECT * FROM tb_user WHERE username = ?');//设定预处理 $stmt->bind_param('s',$username);//绑定参数防SQL注入 $stmt->execute();//执行 $result = $stmt->get_result();//获取 $num_of_row

php面试题： xss,crsf,sql注入是什么，分别如何防范？

编程技术提升

06-11

521

什么是CSRF攻击？让我来谈谈这个词：CSRF（Cross-site request forgery）跨站请求伪造，这个词还是不了解，不用担心，我们先讲一个故事，一个真实的故事。那是在2009年，一名黑客利用CSRF通过Gmail的成功攻击成功窃取了好莱坞明星Vanessa Hudgens的邮箱。攻击很简单，她给她发了一封电子邮件，内容是图片，但这张照片有点特别。它是这样写的：当用户点击邮件加载...

防php止sql注入的方式,PHP防sql注入方法总结分析

weixin_30364109的博客

03-20

977

1、php提交数据过滤的基本原则1)提交变量进数据库时，我们必须使用addslashes()进行过滤，像我们的注入问题，一个addslashes()也就搞定了。其实在涉及到变量取值时，intval()函数对字符串的过滤也是个不错的选择。2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,coo...

php中实现escape函数

hzbigdog的专栏

06-06

607

function escape($sStr, $sInCharset='GBK', $sOutCharset='UTF-8'){ return str_replace('\U', '%u', strtoupper(trim(json_encode(convert_encoding($sInCharset, $sOutCharset, '车猫(17098150465)')), '"')));

ASP.NET网站程序防SQL注入式攻击方法

SoftFairy的专栏

12-06

1349

ASP.NET网站程序防SQL注入式攻击方法一、什么是SQL注入式攻击? 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造(或者影响)动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如： ⑴

PHP最全防止sql注入方法

zhao_teng的博客

09-20

1万+

（1）mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集使用方法如下： $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...