laravel mysql注入_PHP 项目中单独使用 Laravel Eloquent 查询语句来避免 SQL 注入

最新推荐文章于 2023-03-14 17:34:20 发布
最新推荐文章于 2023-03-14 17:34:20 发布
阅读量326 收藏
点赞数
文章标签: laravel mysql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36182029/article/details/113395570
版权

1392b94fea7aec17d8fa9f388762627f.png

OWASP (Open Web Application Security Project) 是一个记录当前 web 应用所受威胁情况的项目。我一直都在关注他们的网站,从 2010,2013 和 2017 年的报告中我发现了一些相似之处,SQL 或其他类型的注入威胁都是高居榜首。

这是个心腹大患。

它会导致你破产,因此这个事情关乎存亡,你单位应该着力处理此类问题避免它的出现。

什么是注入?

所谓注入,就是数据没有经过过滤,将无法信任的内容直接写入了系统解释器,这种行为会导致对站点产生SQL注入,更糟糕的是,攻击者可能会获得对系统的全部权限。

举个例子:

看下面的恶意查询语句,它会将含有恶意行为的SQL语句放在$name变量里,然后允许用户通过POST的方式传递给PHP脚本,从而达到最终使用传入的恶意代码进行攻击的目的。

//将恶意代码, DROP TABLE写入$name变量

`$name = "Mark';DROP TABLE users; -- ";\

$query = "SELECT * FROM users WHERE name='$name'";`

经过PHP脚本解析,这会最终生成这样的SQL语句:

SELECT * FROM users WHERE name='Mark';DROP TABLE users; -- '

正如你猜的那样,上述语句会将整个users数据表从数据库里删除掉。

正如尤达说的:

这太危险了,是的,太危险了。

如何防止对 PHP 应用的恶意注入?

首先,其实并没有真的往数据库里注入什么东西,这种错误只是由于没有正确地将查询语句格式化。解决的方法很简单,只要正确地格式化 SQL 语句,或者是直接把查询语句和数据分开处理。

怎么做呢?用参数化查询对数据格式化,并使查询语句与数据分离。

使用参数化查询,可以确保程序远离注入风险。

例子如下:

`$statement = $db->prepare('SELECT * FROM table WHERE id = ? and name = ? ');\

$statement->execut

最低0.47元/天 解锁文章
青云若水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel 预防 SQL 注入
wgchen
07-29 996
Laravel 预防 SQL 注入
php mysql orm_PHP基于ORM操作MySQL数据库 - strtolower
weixin_39976499的博客
01-19 112
...   1.将字符串转换成小写strtolower(): 该函数将传入的字符串参数所有的字符都转换成小写,并以小定形式放回这个字符串2.将字符转成大写strtoupper(): 该函数的作用...ORM----Oriented Relationship Mapper,即用面向对象的方式来操作数据库。归根结底,还是对于SQL语句的封装。本文我们主要和大家介绍PHP基于ORM方式操作MySQL数...
mysql 8.0 自定义函数_PHP+Mysql防止SQL注入的方法(life)
weixin_39929377的博客
11-26 180
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入的方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下我的官方群点击此处。方法一:mysql_real_escape_string -- 转义 SQL 语句使用的字符串的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users where username =...
PHP的查询处理怎么防止SQL注入
qq_29701691的博客
03-14 312
对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。PDO 的特性在于驱动程序不支持预处理的时候,PDO 将模拟处理,此时的预处理-参数化查询过程在 PDO 的模拟器完成。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。所以,PDO 模拟器能否正确的转义输入参数,是拦截 SQL 注入的关键。Laravel 的底层实现。
laravel框架解决sql注入问题
qq_39634880的博客
09-02 938
php laravel sql 查询 ,解决注入问题
PHP+MysqlSQL注入源码 下载
11-03
SQL注入是一种常见的Web应用程序攻击手段,黑客通过构造恶意SQL语句,利用程序的不安全输入处理,来获取、修改、删除或者控制数据库的敏感数据。 首先,我们需要理解SQL注入的基本原理。当用户输入的数据未经...
laravel框架数据库操作、查询构建器、Eloquent ORM操作实例分析
10-15
在这些操作Laravel 通过参数绑定来防止 SQL 注入,这不仅提高了安全性,也使得代码更易于维护。 接下来,我们转向查询构建器。查询构建器提供了一种更面向对象的方式来执行 SQL 查询,而无需直接编写 SQL 语句...
php防止sql注入的方法详解
10-20
尽量避免在应用程序使用动态拼接SQL语句,而是使用静态的、预编译的查询模板。这样可以减少因动态SQL导致的注入漏洞。 8. **更新和维护**: 保持PHP和所有相关库的最新状态,修复已知的安全漏洞。 9. **错误...
php防止sql注入代码实例
12-18
尽量避免在PHP使用它们。 5. **限制用户输入长度** 对于表单字段,可以设置最大长度,以减少潜在的注入尝试。 6. **过滤输入数据** 如题目的`inject_check()`函数,通过正则表达式检查输入是否包含SQL...
PHP与SQL注入攻击[一]
10-30
6. **避免动态SQL**:尽可能减少动态生成SQL语句,而是使用静态SQL并结合参数化查询。 7. **更新和维护**:保持PHP和数据库管理系统的版本更新,修复已知的安全漏洞。 **总结** SQL注入攻击是Web开发的重大安全...
Illuminate database
success256的博客
03-24 2858
Illuminate database是一个非常强大非常优秀的ORM类库,也是一个非常实用的数据库操作组件。使用它可以轻松对数据库进行查询、插入、更新、删除等操作,支持MySQL,Postgres,SQL Server,SQLlite等。它还是Laravel框架的数据库组件。 本文单独将illuminate database拿出来,脱离框架,主要讲讲使用illuminate database查询构造器进行数据库操作。 安装 使用 composer 安装,直接在项目根目录的命令行里,执行 compo
php mysql注入字符串过滤_PHP 安全三板斧:过滤、验证和转义之过滤篇 & Laravel底层SQL注入规避...
weixin_32060671的博客
02-28 407
PHP 安全三板斧:过滤、验证和转义之过滤篇 & Laravel底层SQL注入规避由 学院君 创建于4年前, 最后更新于 1年前版本号 #328413 views19 likes0 collects我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源的数据。例如以下这些外部源:$_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp:...
php操作mysql防止sql注入(合集)
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
Laravel 安全:避免 SQL 注入
weixin_30855099的博客
09-19 1110
当你使用 Eloquent 查询时,如: User::where('name', $input_name)->first(); Eloquent 内部使用的是 PDO 参数绑定,所以你的请求是安全的。虽然如此,在一些允许你使用原生 SQL 语句的地方,还是要特别小心,例如 whereRaw 或者 selectRaw 。如下: User::whereRaw("n...
模仿laravel关于php防止sql注入操作疑问
weixin_42269583的博客
04-19 1743
模仿laravel关于php防止sql注入操作疑问 作者在PHP开发后端一直用laravel,但是由于在开发游戏网站时前端明显不适合用laravel处理,但是又想借鉴laravelsql注入的处理方法,就去看了laravel关于database部分代码,然后写了一个简易测试。就4个文件 database.php --------------------配置文件 Connection.class....
【转】Laravel 防止XSS攻击
范特西的博客
01-16 8314
目前我们的项目存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用
laravel批量更新多条记录
热门推荐
李否否
10-13 1万+
写在前面熟悉laravel的童鞋都知道,laravel有批量一次性插入多条记录,却没有一次性按条件更新多条记录。是否羡慕thinkphp的saveAll,是否羡慕ci的update_batch,但如此优雅的laravel怎么就没有类似的批量更新的方法呢?高手在民间Google了一下,发现stackoverflow( https://stackoverflow.com/questions/261339
laravel8 PDO防SQL注入的形式操作
qq_34913864的博客
11-24 1118
1.采用PDO防SQL注入的形式操作 public static function addData($data){ return DB::insert("insert into kao_article(title,content) values (:title,:content)",[ ':title' => $data['title'], ':content' => $data['content'] ]);
laravel 使用vue_使用Laravel和Vue.js构建留言簿
最新发布
05-31
在Vue组件使用axios库来调用API接口,例如: ```javascript import axios from 'axios'; export default { data() { return { messages: [], newMessage: '' }; }, mounted() { axios.get('/api/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值