php 如何防范sql注入攻击,php防范SQL注入攻击与XSS攻击的方法详解

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量440 收藏
点赞数
文章标签: php 如何防范sql注入攻击
本文详细介绍了PHP中防范SQL注入和XSS攻击的方法。通过实例展示了如何利用`mysql_real_escape_string`函数过滤SQL注入,以及使用`htmlentities`函数防御XSS攻击。同时指出了仅依赖JavaScript过滤的不足,并提供了修复建议。
摘要由CSDN通过智能技术生成

本节内容:

php防范SQL注入攻击与XSS攻击

1,SQL注入攻击

XSS攻击

任意执行代码

文件包含以及CSRF.

}

例子:

复制代码 代码示例:

mysql_connect("localhost","root","123456")or die("数据库连接失败!");

mysql_select_db("test1");

$user=$_post['uid'];

$pwd=$_POST['pass'];

if(mysql_query("SELECT * from where

admin

= `username`='$user' or `password`='$pwd'"){

echo "用户成功登陆..";

} eles {

echo "用户名或密码出错";

}

?>

以上代码用于检测用户名或密码是否正确,可是在一些恶意攻击者中提交一些敏感代码,.. post判断注入的方式有2种。

1,在form表单的文本框输入 "or‘1'=1"或者"and 1=1"

查询数据库的语句:

SELECT admin from where login = `user`=''or‘1'=1' or `pass`=‘xxxx'

当然也不会出现什么错误,因为or在sql的语句中代表和,或的意思。当然也会提示错误。

当时已经发现了可以执行SQL语句之后就可以查询当前表的所有信息。例如:正确的管理员账户和密码进行登录入侵。。

修复方式1:

使用javascript脚本过滤特殊字符(不推荐,指标不治本)

如果攻击者禁用了javascript还是可以进行SQL注入攻击。。

修复方式2:

使用mysql的自带函数进行过滤。

复制代码 代码示例:

// 省略连接数据库等操作。。

$user=mysql_real_escape_string($_POST['user']);

mysql_query("select * from admin whrer `username`='$user'");

?>

二,XSS攻击以及防范。

提交表单:

复制代码 代码示例:

接收文件:

复制代码 代码示例:

if(empty($_POST['sub'])){

echo $_POST['test'];

}

模拟使用场景..

加入攻击者提交

在返回的页面就应该显示当前页面的cookie信息。

可以运用到某些留言板上(提前是没过滤的),然后当管理员审核改条信息时盗取COOKIE信息,并发送到攻击者的空间或者邮箱。。攻击者可以使用cookie修改器进行登陆入侵了。。

修复方案1:使用javascript进行转义

修复方案2:使用php内置函数进行转义

复制代码 代码示例:

if(empty($_POST['sub'])){

$str=$_POST['test'];

htmlentities($srt);

echo $srt;

}

WeDeep微沉
关注
SQL注入php代码
08-24
SQL注入php,通用防注入类
防止SQL注入XSS攻击Filter
06-03
### 防止SQL注入XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程中,确保应用程序安全至关重要。其中两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS攻击。这两种攻击方式...
初探PHPSQL注入攻击的技术实现以及预防措施
NiceGY
01-12 7924
SQL攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。 有部份人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击
PHP中全面阻止SQL注入攻击之二
powerbuddhist的专栏
04-01 831
一、 注入式攻击的类型  可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。  如果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示):
PHP防止SQL注入XSS攻击
听海Movie的专栏
09-15 6520
PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤, 这样可以防止Xss,注意中文要写出htmlentities($name, ENT_NOQUOTES, GB2312)    mysql_real_escape_string()  所以SQL语句如果有类似这样的写法: “select * from cdr where src =”.$u
PHP如何防止SQL注入攻击
沉浮
10-08 1482
      由于程序开发人员对程序中的一些数据类型没有经过检查、向 MYSQL 提交正确的数据类型以及特殊数据的转义,导致程序容易受SQL注入攻击。就此,PHP对此已提供了安全的设置及内置函数防止此问题的发生。以下就个人在开发应用中写点........1、magic_quotes_runtime 设置当它打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中
php sql注入 如何防止,PHP中如何防止SQL注入攻击
weixin_42300879的博客
03-10 101
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");因为用户可以输入:value'); DROP TABLE table;...
细谈phpSQL注入攻击XSS攻击
12-18
例如: SQL注入攻击 XSS攻击 复制代码 代码如下: 任意执行代码 文件包含以及CSRF. } 关于SQL攻击有很多文章还有各种防注入脚本,但是都不能解决SQL注入的根本问题 见代码: 复制代码 代码如下: <?php mysql_connect(“localhost”,”root”,”123456″)or die(“数据库连接失败!”); mysql_select_db(“test1”); $user=$_post[‘uid’]; $pwd=$_POST[‘pass’]; if(mysql_query(“SELECT * from where admin = `username`=’$
PHP防止SQL注入攻击XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php防止SQL注入的最佳解决方法php防止
php中如何防止sql注入
weixin_43586849的博客
12-06 356
1.什么时候最易受到SQL注入攻击 当应用程序使用输入内容来构造动态SQL语句,以访问数据库时会发生SQL注入攻击 2.如何防止SQL注入 a.永远不要相信用户的输入,对用户输入进行校验,可以通过正则表达式,或限制长度,对单引号和“_”进行转换 不建议使用: //$user = htmlspecialchars(addslashes($user)); //$pwd = htmlsp...
php防止sql注入攻击方法
yyyfff43的专栏
07-07 602
function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 if($check){ echo "输入非法注入内容!";
PHP面试题11】PHP如何防止SQL注入
GitHub质检员
09-14 259
SQL注入攻击是一种常见的Web安全漏洞,可以采用多种方法防止SQL注入攻击。使用PHP的预处理语句和绑定变量可以有效地避免这种攻击。预防SQL注入攻击的最佳实践包括验证用户输入数据、禁止拼接字符串、使用filter_input()函数等。
PHP 安全:如何防止PHP中的SQL注入
最新发布
新华编程特战队
04-23 2323
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
php网站防止sql注入攻击方法
qq_780662763的博客
03-05 459
网站安全防护—该如何防止SQL注入攻击? 移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑, 随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击, 网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员 数据被盗走,这无意是给网站带来了严重的影响与经济损失。 像之前的高考网站被黑,高考完的学生们去查高...
如何在 PHP 应用程序中预防SQL 注入
allway2的博客
07-22 462
因此,PHP会向数据库发送简单的查询字符串,即使您的代码看起来像是在创建准备好的语句和设置参数等等。功能,而如果您使用的是MVC框架,它会为您完成所有繁琐的工作,您甚至不必考虑防止SQL注入。在WordPress中您必须明确地准备语句,这有点烦人,但是,嘿,我们正在谈论的是WordPress。值得庆幸的是,它非常简单,有两种方法可以做到1)清理用户输入,2)使用准备好的语句。无论如何,我的观点是,现代网络开发人员不必考虑SQL注入,因此,他们甚至没有意识到这种可能性。...
php防注入和XSS攻击通用过滤
prefertea的博客
10-15 832
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 假定...
XSSSQL注入攻击详解:从概念到实战
理解和防范XSS攻击SQL注入攻击对于维护网络安全至关重要。应对策略包括:对用户输入进行适当的过滤和转义,使用预编译的SQL语句,以及定期进行安全审计和漏洞扫描。对于开发人员来说,了解这些攻击手段并学习如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值