php mysql 防注入_php,mysql

最新推荐文章于 2023-11-12 23:31:10 发布
最新推荐文章于 2023-11-12 23:31:10 发布
阅读量70 收藏
点赞数
文章标签: php mysql 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35715190/article/details/114355552
版权

引发 SQL 注入攻击的主要原因,是因为以下两点原因:

1。 php 配置文件 php。ini 中的 magic_quotes_gpc选项没有打开,被置为 off

2。 开发者没有对数据类型进行检查和转义

不过事实上,第二点最为重要。

我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。

如何防止 PHP SQL 注入攻击

如何防止 php sql 注入攻击?我认为最重要的一点,就是要对数据类型进行检查和转义。

总结的几点规则如下:

php。ini 中的 display_errors 选项,应该设为 display_errors = off。这样 php 脚本出错之后,不会在 web 页面输出错误,以免让攻击者分析出有作的信息。

调用 mysql_query 等 mysql 函数时,前面应该加上 @,即 @mysql_query(。

。。),这样 mysql 错误不会被输出。同理以免让攻击者分析出有用的信息。另外,有些程序员在做开发时,当 mysql_query出错时,习惯输出错误以及 sql 语句,例如: $t_strSQL = "SELECT a from b。。。。

"; if ( mysql_query($t_strSQL) ) { // 正确的处理 } else { echo "错误! SQL 语句:$t_strSQL \r\n错误信息"。mysql_query(); exit; }

这种做法是相当危险和愚蠢的。

如果一定要这么做,最好在网站的配置文件中,设一个全局变量或定义一个宏,设一下 debug 标志:

全局配置文件中: define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE //调用脚本中: $t_strSQL = "SELECT a from b。

。。。"; if ( mysql_query($t_strSQL) ) { // 正确的处理 } else { if (DEBUG_MODE) echo "错误! SQL 语句:$t_strSQL \r\n错误信息"。mysql_query(); exit; }

对提交的 sql 语句,进行转义和类型检查。

全部

HHyo
关注
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
10-20
php mysql_real_escape_string、addslashes函数以及mysql绑定参数是PHP开发中常用的止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数是PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
php操作mysql止sql注入
chuaiyuan6611的博客
06-02 371
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
php操作mysql止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
php网站如何止sql注入
の原為じ簡單
12-13 157
php网站如何止sql注入? 网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,止自己的网站被sql注入。 如今主流的网站开发语言还是php,那我们就从php网站如何止sql注入开始说起: Php注入的安全范通过上面的过程,我们可以了解到php注入...
php mysql 注入_php SQL 注入的一些经验
weixin_28678517的博客
02-28 188
产生原因一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如:$id = $_GET['id'];$sql= "SELECT name FROM users WHERE id = $id";因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。如果按照下面方式写,就安...
php_pdo_mysql.dll_dll_PDO_MYSQL_php_
09-29
标题 "php_pdo_mysql.dll_dll_PDO_MYSQL_php_" 暗示了我们正在讨论的是PHP的一个扩展,即PDO_MYSQL,它是一个用于MySQL数据库连接的PHP数据对象(PDO)驱动。PDO_MYSQL允许PHP应用程序使用PDO接口与MySQL服务器进行...
php_mysql_class.zip_MYSQL_class_php_php class_php+mysql
09-24
这个名为"php_mysql_class.zip"的压缩包包含了一个名为"MYSQL_class.php"的PHP类文件,它是实现这一功能的核心。 PHP MySQL类库的出现,源于PHP原生的MySQL函数虽然强大,但直接使用可能会导致代码重复,不易维护。...
flex_php_mysql.rar_flex_flex_php_mysql_php mysql_php+mysql_php增删
09-23
标题中的"flex_php_mysql.rar_flex_flex_php_mysql_php+mysql_php增删查改"表明这是一个关于使用Flex作为前端、PHP作为服务器端脚本语言、MySQL作为后台数据库进行数据操作的项目。这个项目的重点在于实现基本的CRUD...
php mysql 注入
fanyijie1990的专栏
05-15 208
使用 mysql_real_escape_string 注入注意事项:1、It is impossible to safely escape a string without a DB connection. mysql_real_escape_string() and prepared statements need a connection to the database so that t...
php止SQL注入的方法[转载]
zhonglijunyi的专栏
01-21 505
php止SQL注入的方法 原文地址:http://daybook.diandian.com/post/2011-09-16/5079753 【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置ph
PHP注入
10-14 914
php+mysql注射的范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval() 将其转换成整数类型,如: $id=intval($id); mysql_query=”select *from e
php注入
weixin_30402343的博客
06-14 196
引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2. 开发者没有对数据类型进行检查和转义   不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的...
phpmysqli注入攻略
我点评的博客
08-01 367
为了止SQL注入攻击,我们可以使用mysqli类中的prepare语句、mysqli_real_escape_string函数以及正确的数据类型等方法。在使用mysqli_real_escape_string函数时,我们需要将需要转义的字符串作为第一个参数传入函数中。mysqli是PHP中与MySQL交互的扩展,它提供了一种有效的止SQL注入攻击的方法。mysqli_real_escape_string函数是mysqli扩展中一个非常重要的函数,它可以将特殊字符转义,从而避免SQL注入攻击。
php+MySQL止sql注入
最新发布
php-yyds
11-12 497
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效地止了SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
php mysql止sql注入详细说明(2)
梦一笑轩
12-31 439
最近在折腾 PHP + MYSQL的编程。了解了一些 PHP SQL 注入攻击的知识,于是写了这篇文章 http://www.xiaohui.com/weekly/20070314.htm,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2
PHP注入分析
binger819623的专栏
05-11 1123
在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)      先来说说安全问题,我们首先看一下两篇文章: http:/
PHP代码实现sql注入
dasongbo7290的博客
06-08 173
注入是程序员一个必须要了解的基本安全知道了,下面我来介绍关于php使用pdo时的一些注入安全知识。 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。 具体可能有点不一样,但大致的步骤如上所示。 在PHP 5.3.6及以前版本中,并不支持在DSN中的charset定义,而应该使用PDO::M...
php mysql止sql注入_php mysql止sql注入详细说明
weixin_33340674的博客
01-19 155
sql注入我必须从sql语句到php get post 等数据接受处理上来做文章了,下面我们主要讲phpmysql的sql语句上处理方法,可能忽略的问题.看这个例子,代码如下://supposedinput$name=“ilia’;deletefromusers;”;mysql_query(“select*fromuserswherename=’{$name}’”);很明...
PHP+MySQL注入实战指南
"PHP+Mysql注入实战.pdf - 一本关于PHPMySQL数据库的SQL注入教程,适合新手学习。" 在网络安全领域,PHPMySQL的SQL注入攻击是一个严重的问题,它允许攻击者通过在输入数据中嵌入恶意SQL代码来操纵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值