php网站开发防注入,php防注入及开发安全详细解析

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量120 收藏
点赞数
文章标签: php网站开发防注入

1、PHP注入的基本原理

程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统.

SQL注入过程

正常来讲,我们通过地址接收一些必要的参数如:

页面中我们会使用 2 写入到SQL语句中

正常情况:Select * From Table where id=2

PHP100.php?id=2

如果我们对SQL语句熟悉,就知道2 我们可以替换成我们需要的SQL语句

如:and exists (select id from admin)

2、防止注入的几种办法

其实原来就是我们需要过滤一些我们常见的关键字和符合如:

Select,insert,update,delete,and,*,等等

例子:

复制代码 代码如下:

function inject_check($sql_str) {

return preg_match('/select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile/i', $sql_str);      // 进行过滤

}

或者是通过系统函数间的过滤特殊符号

Addslashes(需要被过滤的内容)

3、PHP其他地方安全设置

register_globals = Off 设置为关闭状态

SQL语句书写时尽量不要省略小引号和单引号

复制代码 代码如下:

Select * From Table Where id=2 (不规范)

Select * From ·Table· Where ·id·='2' (规范)

提高数据库命名技巧,对于一些重要的字段可根据程序特点命名

对于常用方法加以封装,避免直接暴露SQL语句

正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤

都拉方
关注
php注入开发安全详细解析
10-27
以下是关于PHP注入开发安全详细解析: 1. **SQL注入的基本原理**: 当开发者在编写PHP代码时,如果直接将未经验证的用户输入与SQL语句拼接,就可能导致SQL注入。例如,一个简单的查询可能如下所示: ```...
PHP网站安全方法,PHP网站中整体注入方法
weixin_30278943的博客
03-22 171
今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。PHP网站中整体注入方法/**Author:heiyeluren*Date:2005-7-20*Blog:http://blog.csdn.net/heiyeshuwu*/今天写代码的时候猛然想到是不能能够通过一个文件来处理整...
PHP常见的SQL注入方法
最新发布
weixin_43741253的博客
09-22 3020
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes止SQL注入,还是建议大家加强中文止SQL注入的检查。
php注入代码,解决wordpress被注入代码
weixin_36365795的博客
04-12 390
前段时间,我想给我的网站统计修改一下,发现里面的代码全是 eval(base ….等被注入的代码。凡是php代码都被注入,我没当回事就直接下载了新版本的wordpress覆盖。昨天,我一朋友的服务器上面的代码也出现这类情况,他上面的代码比较多,所以得批量修改过来。研究了linux上面的常用的命令,一行命令就可以解决此问题,linux是如此神奇。find /var/www/html -name '*...
网站注入一些script之后,引发的跳转问题
weixin_36878452的博客
03-10 864
今天吃过晚饭,以前在在北京的同事想我求助,客户的网站在移动端页面发生了异常跳转。 这是我第二次帮助这个partner处理这种问题的。 第一次经过:记得第一次是网站移动段页面莫名的跳转到一个成人网站,由于发生了跳转行为,首先我将控制台的Preserve Log,打开,确定有一个新的跳转,然后开始去查找所有js文件,分析js文件,加载顺序,诊断出了大致可能是哪些js可能引起了跳转,然后找到了js文...
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
php安全注入类.zip
07-11
<?php class Params {  public $get = array(); ... public $post = array();...对于带有任何参数的sql语句都会被发送到数据库服务器,并被解析!对于攻击者想要恶意注入sql是不可能的!
PHP使用PDO实现mysql注入功能详解
10-15
PHP开发中,数据库安全是至关重要的,而SQL注入攻击是一种常见的网络安全威胁。PDO(PHP Data Objects)扩展提供了一种安全的方式来操作数据库,能够有效止SQL注入。下面将详细讲解如何使用PDO实现MySQL的注入...
Php网站脚本注入的原理
denseryan专栏
07-01 1054
今天,我来简述一下对于php注入攻击: Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候
php+js实现瀑布流代码
01-08
php+js实现瀑布流代码 瀑布流代码 php瀑布流要有PHP运行平台 下载过后自己研究 有的地方换成自己需要的就好了
[转]浅谈php web安全
weixin_30797027的博客
10-31 240
作者:phpben 来源:http://www.phpben.com/?post=79 浅谈php web安全 前言: 首先,笔记不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phpe...
PHP网站中整体注入方法
heiyeluren的blog(黑夜路人的开源世界)
07-20 2952
PHP网站中整体注入方法/* * Author: heiyeluren * Date: 2005-7-20 * Blog: http://blog.csdn.net/heiyeshuwu*/今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都
php网站sql注入修复方案,php 网站sql注入漏洞解决方案
weixin_35632257的博客
03-17 567
分享到:------解决方案--------------------你直接看下修复方案。------解决方案--------------------Fatal error: Call to undefined method NodeNav::GetCounter() in E:\www\ECMS\Template_c\[emailprotected][emailprotected]@list_...
php 注入函数,php 止SQL注入函数
weixin_31107269的博客
04-14 1363
function inject_check($sql_str) {return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);// 该函数已经被弃用 相当于preg_match()}function verify_id($id=nu...
预处理 insert php,php – mysqli,预处理语句和INSERT-SELECT
weixin_39784774的博客
03-28 103
让我假装在InnoDB数据库中有两个表:类别和笑话;并且我正在使用PHP / MySQLi来完成工作.表格如下:CATEGORIESid (int, primary, auto_inc) | category_name (varchar[64])============================================================1 ...
一劳永逸:PHP网站中整体注入方法
wxdvc的专栏
01-23 524
主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到注入的效果。  今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。  我们主要是从两点出发,因为我们的获取的变量一般都是通过G
实现PHP网站整体注入
zjuwangleicn的博客
03-14 492
突然想到是不是能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我...
php 注入的方法,PHP止SQL注入方法
weixin_39603476的博客
03-11 172
PHP止SQL注入方法2019-08-1294我们在查询数据库时,出于安全考虑,需要过滤一些非法字符止SQL恶意注入,请看一下函数:方法一:functioninjCheck($sql_str){$check=preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfi...
提升网站安全PHP+MySQL注入实践与技巧
在当前互联网环境中,止SQL注入攻击对于网站安全至关重要。PHP与MySQL的结合使得网站易受攻击,因此采取有效的注入策略必不可少。本文将介绍两种常见的注入措施。 首先,将`register_globals`配置项从`On`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值