php登录防sql注入,PHP和Mysql登录功能防止SQL注入

最新推荐文章于 2021-04-04 03:29:10 发布
最新推荐文章于 2021-04-04 03:29:10 发布
阅读量111 收藏 1
点赞数
文章标签: php登录防sql注入

最近在了解SQL注入,发现很多人登录功能都是同时使用用户输入的username和password,组合到一条sql语句里面,查询判断有无结果来判定是否可登录。例如下面:

$username = $_POST['username'];

$password = $_POST['password'];

$sql = "select * from user where username='{$username}' and password='{$password}' ";

$this->db->query($sql);

这样很容易在 username参数加入 ‘ or 1=1 -- 注入,虽然这只是示例,但现在很多使用框架,一不注意,最终组合成的语句也是类似这样的。这里不说输入参数过滤、参数绑定,语法分析等常用办法去应对SQL注入,我们可以转变一下判断方法:

$username = $_POST['username'];

$password = $_POST['password'];

$sql = "select * from user where username='{$username}' ";

$data = $this->db->query($sql);

......

if($data['password'] == $password){

//密码OK

}else{

//密码错误

}

这样先查到数据,再用php本身来判断是否匹配密码,是不是解决了问题了?

相关推荐:

令狐星尘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入php代码
08-24
SQL注入php,通用注入类
PHP+mysql防止SQL注入的方法小结
10-17
主要介绍了PHP+mysql防止SQL注入的方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
php mysql sql注入_PHP简单实现防止SQL注入的方法
weixin_35104141的博客
01-19 377
本文实例讲述了PHP简单实现防止SQL注入的方法。分享给大家供大家参考,具体如下:方法一:execute代入参数if(count($_POST)!= 0) {$host = 'aaa';$database = 'bbb';$username = 'ccc';$password = '***';$num = 0;$pdo = new PDO("mysql:host=$host;dbname=$dat...
php登录防止注入,PHP登录中的防止sql注入方法分析
weixin_29028595的博客
03-09 117
比如以下一段登录的代码:代码如下if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败');mysql_select_db('test');mysql_set_charset('utf8');$sql = 'select * from test where username = "$username" and pass...
php防止SQL注入的方法
weixin_34100227的博客
12-13 421
此文转载自网络,对内容有作删减。 旨在提供几点思路。原文:http://www.cnblogs.com/jianqingwang/p/6067967.html 什么是SQL注入SQL注入大部分情况下都是由于并没有对用户提交的数据、URL参数等进行过滤,而恰恰在这些未被过滤的参数或数据中存在了sql执行语句,最终导致数据库的数据被篡改、被导出等风险。 怎样防止? 【一、在服务器端配置】安全,PH...
PHP查询登录中的sql注入
dilunzhuang0924的博客
06-28 88
---------------------------------------------------------------------------------------------------- 比如以下一段登录的代码: if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败'); mysql_s...
php登录页面实现-SQL注入
03-07
总结来说,构建安全的PHP登录页面需要对用户输入进行适当的验证和清理,避免SQL注入,并妥善处理错误信息。同时,使用会话管理来维护用户的登录状态,确保用户数据的安全。在实际开发中,还应遵循其他最佳实践,如...
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
使用PHP实现防止sql注入功能
最新发布
05-31
使用PHP实现防止sql注入功能 一、 开发环境 1、环境搭建:Windows 7+Apache 2.4.18+MySQL 5.7.11+PHP 7.1.0。 2、文本编辑器:Sublime 3。 二、主要技术 本案例主要在PHP中分别使用PDO的quote()方法和prepare()...
php防止SQL注入详解及
12-19
PHP是Web开发中常用的脚本语言,因此理解如何在PHP防止SQL注入至关重要。 在PHP中,防止SQL注入的两个关键步骤是: 1. **数据过滤**:对用户输入进行验证和清理,确保输入的数据符合预期的格式。例如,如果你...
php登录防止sql注入,PHP登录中的防止sql注入方法分析
weixin_42120550的博客
03-18 148
防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧.比如以下一段登录的代码:if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败')...
php sql登录护,PHP登录中的防止sql注入方法分析
weixin_28911533的博客
04-02 164
防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧。比如以下一段登录的代码:代码如下if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连...
PHP防止SQL注入
战国墨竹的博客
06-12 895
我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数: 复制代码代码如下: function injCheck($sql_str) { $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str); ...
php前台登录 sql注入_PHP查询登录中的sql注入
weixin_42165980的博客
03-09 212
----------------------------------------------------------------------------------------------------比如以下一段登录的代码:if($l = @mysql_connect(‘localhost‘, ‘root‘, ‘123‘)) or die(‘数据库连接失败‘);mysql_select_db(‘t...
php登录防止注入,PHP web应用当存在注入的情况下,如何写用户登录防止通过注入绕过登录...
weixin_35045323的博客
03-09 121
PHP web应用当存在注入的情况下,如何写用户登录防止通过注入绕过登录假设条件不可改,不要回答防止注入一般的2中写法·1$sql = "select * from user where user_name=$username and password=$password";$res = $db_obj->get_one($sql);if($res){//登录成功}··2$sql = "s...
php 登录功能sql注入原理及如何防止
weixin_41699529的博客
05-18 1948
比如你做个登录登录的前端页面是不是一般需要两个值,一个用户名,一个密码你php里一般就这么写,$usename = $_POST[''username];$password = $_POST[''password ];然后select * from `user` where username = $_POST['username'] and password = $_POST['password...
ecshop php过滤,ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞
weixin_39796855的博客
04-04 148
<?phpini_set("max_execution_time",0);error_reporting(7);function usage(){global $argv;exit("\n--+++============================================================+++--"."\n--+++====== ECShop Search.ph...
php登录sql,sql / php - 验证用户登录
weixin_35607952的博客
03-18 283
尝试在php上验证用户登录。即使我使用正确的信息,我也只是被发送到'index2.php'。任何想法我应该如何调试这个或我需要做什么?谢谢**我还将查询更改为SELECT COUNT(ID)FROM CUSTOMER并将if语句设置为“if($ result> 1){”但仍然发送到'index2.php'// ----------------------// Retrieve login i...
mysql 注入 php,php操作mysql防止sql注入(合集)
weixin_32745019的博客
03-17 150
当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。$unsafe_variable = $_POST['user_input'];用户可以输入诸如 : value'); DROP TABLE table; ,SQL语句就变成这样了:执行的结果就是table表被删掉了。1.魔术引用 (推荐指数3)addslashes()用于对变量中的' " \和NULL添加\斜杠,用于避免传入sq...
SQL注入基础教程:原理、工具体验与护策略
- 对MySQL语句和数据库结构有一定了解,这有助于理解常见的SQL注入攻击手法。 - PHPStudy是一个快速搭建Web开发环境的工具,内置MySQL数据库,用于实践学习。 3. **工具与环境搭建**: - PHPStudy提供了完整的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值