php sql injection,PHP防止SQL Injection

最新推荐文章于 2023-04-13 17:39:36 发布
最新推荐文章于 2023-04-13 17:39:36 发布
阅读量139 收藏
点赞数
文章标签: php sql injection

防止SQL

Injection

>>

安全配置

php和apache的配置,主要用到php.ini和httpd.conf,而此文我们主要用到的是php.ini的配置。

1.为了安全起见我们一般都打开php.ini里的安全模式,即让safe_mode = On。

2.还有一个就是返回php执行错误的display_errors

这会返回很多有用的信息,所以我们应该关闭之,即让display_errors=off

关闭错误显示后,php函数执行错误的信息将不会再显示给用户。

3.在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc,高版本的默认都是magic_quotes_gpc=On,只有在原来的古董级的php中的默认配置是magic_quotes_gpc=Off,可是古董的东西也有人用的哦!当php.ini中magic_quotes_gpc=On的时候会有什么情况发生哩,不用惊慌,天是塌不下来的啦!它只是把提交的变量中所有的

' (单引号), " (双引号), \ (反斜线) 和

空字符会自动转为含有反斜线的转义字符,例如把'变成了\',把\变成了\\。

>>

初始化你的变量

我们看下面的代码:

if ($admin)

{

echo '登陆成功!';

include('admin.php');

}

else

{

echo '你不是管理员,无法进行管理!';

}

我们看上面的代码好像是能正常运行,没有问题,那么假如我提交一个非法的参数过去,那么效果会如何呢?比如我们的这个页是

http://www.traget.com/login.php,那么我们提交:http://www.target.com/login.php?

admin=1,呵呵,你想一想,我们是不是直接就是管理员,可以直接进行管理了?

当然,可能你会觉得不会犯这么简单错的错误,可最近暴出来的phpwind

1.3.6论坛漏洞,导致能够直接拿到管理员权限,就是因为有个$skin变量没有初始化,导致了后面一系列问题。

那么我们如何避免上面的问题呢?首先,从php.ini入手,把php.ini里面的register_global =

off,就是不是所有的注册变量为全局,那么就能避免了。但是,我们不是服务器管理员,只能从代码上改进了,那么我们如何改进上面的代码呢?我们改写如

下:

$admin = 0; // 初始化变量

if ($_POST['admin_user'] &&

$_POST['admin_pass'])

{

// 判断提交的管理员用户名和密码是不是对的相应的处理代码

// ...

$admin = 1;

}

else

{

$admin = 0;

}

if ($admin)

{

echo '登录成功!';

include('admin.php');

}

else

{

echo '你不是管理员,无法进行管理!';

}

那么这时候你再提交http://www.target.com/login.php?admin=1就不好使了,因为我们在一开始就把变量初始化为

$admin = 0 了,那么你就无法通过这个漏洞获取管理员权限。

>> 检查用户提交的值的类型

从前面的讨论中我们看到,迄今为止,SQL注入的主要来源往往出在一个意料之外的

表单入口上。然而,当你经由一个表单向用户提供机会提交某些值时,你应该有相当的优势来确定你想取得什么样的输入内容-这可以使得我们比较容易地检查用户

入口的有效性。在以前的文章中,我们已经讨论过这样的校验问题;所以,在此,我们仅简单地总结当时我们讨论的要点。如果你正在期望一个数字,那么你可以使

用下面这些技术之一来确保你得到的真正是一个数字类型:

· 使用is_int()函数(或is_integer()或is_long())。

· 使用gettype()函数。

· 使用intval()函数。

· 使用settype()函数。

为了检查用户输入内容的长度,你可以使用strlen()函数。为了检查一个期望的时间或日期是否有效,你可以使用strtotime()函数。它几乎

一定能够确保一位用户的入口中没有包含分号字符(除非标点符号可以被合法地包括在内)。你可以借助于strpos()函数容易地实现这一点,如下所示:

if( strpos( $variety, ';' ) ) exit ( "$variety is

an invalid value for variety!" );

正如我们在前面所提到的,只要你仔细分析你的用户输入期望,那么,你应该能够很容易地检查出其中存在的许多问题。

>>

从你的查询中滤去每一个可疑字符

尽管在以前的文章中,我们已经讨论过如何过滤掉危险字符的问题;但是在此,还是让我们再次简单地强调并归纳一下这个问题:

·

不要完全指望magic_quotes_gpc指令或它的"幕后搭挡"-addslashes()函数,此函数在应用程序开发中是被限制使用的,并且此函数还要求使用额外的步骤-使用stripslashes()函数。

· 相比之下,mysql_real_escape_string()函数更为常用,但是也有它自己的缺点。

>>

从代码去入手

SQL注射应该是目前危害最大的攻击方法了,包括最早的ASP到PHP,都是国内这两年流行的技术,基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些SQL查询语句,导致重要数据被窃取、数据丢失损坏,或者直接被入侵者拿到后台管理权限。

我们既然了解了基本的注射入侵的方式,那么我们如何去防范呢?这个就应该我们从代码去入手了。

我们知道Web上提交数据有两种方式,一种是GET、一种是POSTT,那么很多常见的SQL注射就是从GET方式入手的,而且注射的语句里面一定包含一

些SQL语句,SQL语句有四大关键词:select、update、delete、insert。如果我们在提交的数据中进行过滤是不是能够避免这些问

题呢?

于是我们使用正则就构建如下函数:

function inject_check($sql_str)

{

return

eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',

$sql_str); // 进行过滤

}

函数里把“select,insert,update,delete, union, into, load_file,

outfile

function verify_id($id=null)

{

if (!$id) { exit('没有提交参数!'); } // 是否为空判断

elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断

elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断

$id = intval($id); // 整型化

return $id;

}

呵呵,那么我们就能够进行校验了,于是我们上面的程序代码就变成了下面的:

if (inject_check($_GET['id']))

{

exit('你提交的数据非法,请检查后重新提交!');

}

else

{

$id = verify_id($_GET['id']); // 这里引用了我们的过滤函数,对$id进行过滤

echo '提交的数据合法,请继续!';

}

?>

好,问题到这里似乎都解决了,但是我们有没有考虑过Post提交的大批量的数据呢?比如一些字符可能会对数据库造成危害,比如“_”,“%”,这些字符都

有特殊意义,那么我们如果进行控制呢?还有一点,就是当我们的php.ini里面的“magic_quotes_gpc =

off”的时候,那么提交的不符合数据库规则的数据都是不会自动在前面加“\”的,那么我们要控制这些问题,于是构建如下函数:

function str_check( $str )

{

if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开

{

$str = addslashes($str); // 进行过滤

}

$str = str_replace("_", "\_", $str); // 把 '_'过滤掉

$str = str_replace("%", "\%", $str); // 把' % '过滤掉

return $str;

}

OK,我们又一次的避免了服务器被沦陷的危险。

最后,再考虑提交一些大批量数据的情况,比如发贴,或者写文章、新闻,我们需要一些函数来帮我们过滤和进行转换,再上面函数的基础上,我们构建如下函数:

function post_check($post)

{

if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开

{

$post = addslashes($post); //

进行magic_quotes_gpc没有打开的情况对提交数据的过滤

}

$post = str_replace("_", "\_", $post); // 把 '_'过滤掉

$post = str_replace("%", "\%", $post); // 把' % '过滤掉

$post = nl2br($post); // 回车转换

$post= htmlspecialchars($post); // html标记转换

return $post;

}

在脚本编程的时候,一定要养成良好的编程习惯,例如本文所说的对变量进行初始化,同时注意变量的过滤,变量对整个系统的安全性起了很重要的作用。希望这些点滴能让你养成更好的习惯

李胜民
关注
PHP中的代码安全和SQL Injection防范1
02-17
PHP编码的时候,如果考虑到一些比较基本的安全问题,首先一点: 1. 初始化你的变量 为什么这么说呢?我们看下面的代码: 以下为引用的内容: if ($admin) { echo '登陆成功!'; include('admin.php'); } else { echo '你不是管理员,无法进行管理!'; } 好,我们看上面的代码好像是能正常运行,没有问题,那么加入我提交一个非法的参数过去呢,那么效果会如何呢?比如我们的这个页是 http://www.traget.com/login.php,那么我们提交:http://www.target.com/login.php?admin=1,呵呵,你想一些,我们是不是直接就是管理员了,直接进行管理。 当然,可能我们不会犯这么简单错的错误,那么一些很隐秘的错误也可能导致这个问题,比如最近暴出来的phpwind 1.3.6论坛有个漏洞,导致能够直接拿到管理员权限,就是因为有个$skin变量没有初始化,导致了后面一系列问题。 那么我们如何避免上面的问题呢?首先,从php.ini入手,把php.ini里面的register_global = off,就是不是所有的注册变量为全局,那么就能避免了。但是,我们不是服务器管理员,只能从代码上改进了,那么我们如何改进上面的代码呢?我们改写如下: 以下为引用的内容: $admin = 0; // 初始化变量 if ($_POST['admin_user'] && $_POST['admin_pass']) { // 判断提交的管理员用户名和密码是不是对的相应的处理代码 // ... $admin = 1; } else { $admin = 0; } if ($admin) { echo '登陆成功!'; include('admin.php'); } else { echo '你不是管理员,无法进行管理!'; } 那么这时候你再提交 http://www.target.com/login.php?admin=1 就不好使了,因为我们在一开始就把变量初始化为 $admin = 0 了,那么你就无法通过这个漏洞获取管理员权限。 2. 防止SQL Injection (sql注射) SQL 注射应该是目前程序危害最大的了,包括最早从asp到php,基本上都是国内这两年流行的技术,基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句,导致重要数据被窃取、数据丢失或者损坏,或者被入侵到后台管理。 基本原理我就不说了,我们看看下面两篇文章就很明白了: http://www.4ngel.net/article/36.htm http://www.4ngel.net/article/30.htm 那么我们既然了解了基本的注射入侵的方式,那么我们如何去防范呢?这个就应该我们从代码去入手了。
php SQL Injection with MySQL
12-17
PHP中,`magic_quotes_gpc`配置项默认开启时,会对用户输入进行自动转义,以防止SQL注入。然而,这并不总是足够的保护,因为攻击者可以通过设计巧妙的输入绕过这种防护。例如,如果程序中使用了如下的SQL查询: `...
PHP函数解决SQL injection 作者:lm92 来源:CSDN
panex的专栏
06-23 792
SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(/),由于表单提交的内容可能含有敏感字符,如单引号(),就导致了SQL injection的漏洞。在
PHP中的代码安全和SQL Injection防范
heiyeluren的blog(黑夜路人的开源世界)
06-14 8774
PHP中的代码安全和SQL Injection防范注意: 本文已经发表在2005年4月的杂志上, 请勿转载。/************************* * 作者:heiyeluren * QQ:37035600  * Email:heiyeluren@163.com *************************/在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器
永远的Sql Injection + PHP注射
修养生息,以得佳境
03-13 1401
永远的Sql Injection + PHP注射 作者:未知 来源:http://www.x2s.orgSql Injection永远是那么可爱... Sql注射总结(早源于or1=1) 最重要的表名: select * from sysobjects sysobjects ncsysobjects sysindexes tsysindexes syscolumns systype
PHP代码审计 -----sql注入漏洞
最新发布
qq_62344745的博客
04-13 453
SQL注入 大概从08年 ------至今 几乎都是 top10大漏洞中的 第一个了随处可见的,现在可能少点了。我们首先要了解每一种数据库的语法、特性不同的数据库,都有自己的特性,
SQL Injection with MySQL 注入分析
09-14
为了防止SQL注入,开发者应遵循以下最佳实践: 1. 使用参数化查询或预编译语句,如PHP的PDO库提供的预处理语句。 2. 避免将用户输入直接插入SQL查询,而是使用存储过程或函数来处理数据。 3. 开启PHP的`magic_...
SQL-injection-detective.rar_Detective_sql injection_sql 注入_sql注入
09-23
本项目"SQL-injection-detective.rar"提供了一个用C#编写的简单SQL注入漏洞检测工具,旨在帮助开发者识别和修复这类安全隐患。 1. SQL注入原理:SQL注入发生时,用户输入的数据未经验证或过滤就直接被用于构建...
PHP函数解决SQL injection
12-17
SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。 如果你网站空间的php.ini文件里的magic_quotes_gpc设成了...
PHP+MySQL环境下SQL Injection攻防总结
桦少's blog
01-31 1091
程序员们写代码的时候讲究TDD(测试驱动开发):在实现一个功能前,会先写一个测试用例,然后再编写代码使之运行通过。其实当黑客SQL Injection时,同样是一个TDD的过程:他们会先尝试着让程序报错,然后一点一点的修正参数内容,当程序再次运行成功之时,注入也就随之成功了。 进攻: 假设你的程序里有类似下面内容的脚本: $sql = "SELECT id, title, con
phpipam1.4BUS
mingxiawdv11的博客
07-08 348
phpIPAM installation on CentOS 7 Here is a full guide on how to install phpIPAM on CentOS 7. This should work on all RHEL based distributuons. For this guide I used competely fresh install of CentOS 7, we will do step by step guide for all applications nee
防止sql注入 php_PHP-防止SQL注入
cunchi8090的博客
07-19 325
防止sql注入 php SQL injection vulnerabilities have been described as one of the most serious threats for Web applications. Web applications that are vulnerable to SQL injection may all...
PHP最全防止sql注入方法
zhao_teng的博客
09-20 1万+
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下:   $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...
防止注入代码
weixin_30834019的博客
06-18 74
function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 if($check){ echo "输入非法注入内容!"; ...
防止SQL注放的函数
经验在于积累而不在于年限---dreamboycx
11-29 394
function inject_check($sql_str) {   $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file |outfile', $sql_str);     // 进行过滤 if($check){ echo "输入了非法内容"; exit(); }else
PHP SQL注入攻击与防御
qq27898的博客
03-22 1万+
PS:下章节我会就XSS/CSRF写一篇文章,还请各位关注1.什么是SQL注入攻击?百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是...
SQL注入系列之PHP+Mysql手动注入(一)----数字型
fendo
01-01 1万+
常见的几种SQL注入 1.数字型 2.字符型 3.文本型 4.搜索型(POST/GET) 5.cookie注入 6.SQL盲注 MySQL报错注入基本流程: Mysql注入步骤 1.判断sql注入 2.猜解表名 3.猜解列名 4.猜解字段内容 5.导出webshell 1.判断sql注入 ○提交单引号' ○and大法和or大法
PHP SQL防注入
谁还不是一块小饼干的博客
01-04 4411
参考资料: PHP防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事项 php SQL 防注入的一些经验 如何在PHP防止SQL注入? PHP安全编程:防止SQL注入 addslashes与mysql_real_escape_string的区别 How can I prevent SQL injection in PHP? 什么是SQL...
PHP+MySQL实现简单的登录(SQL注入入门实验)
热门推荐
江左盟的博客
06-03 1万+
本实验是入门级的SQL注入实验,手工注入吧,用sqlmap就没意思了,简单过程:用户输入用户和密码然后提交,服务端收到用户和密码并查询数据库输出到页面。 一、创建数据库 create database web1; 创建两张表,一张保存登录用户和密码,另一张保存flag: create table test(user varchar(15),password varchar(16)); c...
SQL Injection检测与防范教程
"SQL Injection 自我檢測" SQL Injection 是一种常见的网络安全漏洞,它发生在应用程序使用用户输入的参数直接构建SQL查询语句时,攻击者可以利用这个弱点插入恶意的SQL代码,以获取未经授权的数据访问、修改或删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值