php接收用户名密码防止注入,PHP最全防止sql注入的方法

最新推荐文章于 2021-04-01 06:55:12 发布
最新推荐文章于 2021-04-01 06:55:12 发布
阅读量181 收藏
点赞数
文章标签: php接收用户名密码防止注入

PHP最全防止sql注入的方法

PHP

#sql注入2014-04-08 17:40

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集

使用方法如下:

$sql = "select count(*) as ctr from users where username

='".mysql_real_escape_string($username)."' and

password='". mysql_real_escape_string($pw)."' limit 1";

使用

mysql_real_escape_string()

作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。

(2) 打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置:magic_quotes_gpc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,

比如把 ' 转为 \'等,对于防止sql注射有重大作用。

如果magic_quotes_gpc=Off,则使用addslashes()函数

(3)自定义函数

function inject_check($sql_str) { //http://yige.org/

return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);

}

function verify_id($id=null) {

if(!$id) {

exit('没有提交参数!');

} elseif(inject_check($id)) {

exit('提交的参数非法!');

} elseif(!is_numeric($id)) {

exit('提交的参数非法!');

}

$id = intval($id);

return $id;

}

function str_check( $str ) {

if(!get_magic_quotes_gpc()) {

$str = addslashes($str); // 进行过滤

}

$str = str_replace("_", "\_", $str);

$str = str_replace("%", "\%", $str);

return $str;

}

function post_check($post) {

if(!get_magic_quotes_gpc()) {

$post = addslashes($post);

}

$post = str_replace("_", "\_", $post);

$post = str_replace("%", "\%", $post);

$post = nl2br($post);

$post = htmlspecialchars($post);

return $post;

}

相关文章

Vita Libre
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP登录环节防止sql注入方法浅析
12-18
防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试的时候一下就攻破了你的数据库,下面我们来简单的介绍一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧。 比如以下一段登录的代码: if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败'); mysql_select_db('test'); mysql_set_charset('utf8'); $sql = 'select * from test wh
php防止SQL注入详解及
12-19
SQL注入是一种常见的网络安全...总结,防止SQL注入需要综合运用数据过滤、数据转义、预处理语句和适当的密码处理策略。开发者应始终关注代码的安全性,确保在处理用户输入时采取最佳实践,以降低被SQL注入攻击的风险。
php登录防止sql注入,PHP登录中的防止sql注入方法分析
weixin_31662303的博客
03-18 122
防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧.比如以下一段登录的代码:if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败')...
php接收文件 用户名密码,PHP 生成 .htpasswd 文件的用户名密码
weixin_39929918的博客
03-24 102
.htpasswd 主要是 apache 使用的基于文件的用户名密码的存储
php 完美sql注入,完美的phpsql注入代码_PHP教程
weixin_42510924的博客
03-28 100
/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:注入*************************///要过滤的非法字符$ArrFiltrate=array("'","or","and","union","where");//出错后要跳转的url,不填则默认前一页$StrGoUrl="";//是否存在数组中的值func...
php密码注入,php下的SQL注入万能用户名密码
weixin_39661353的博客
03-09 552
1.针对有单引号的情况 :万能密码 :select * from users where username='xxxx' and password='xxxxxx' or 1='1';万能用户名 :select * from users where username='xxxx' union select * from users/* and password='xxxxx';防止第一种万能密...
php登录页面实现-SQL注入
03-07
- 使用参数化查询:无论是`mysqli_prepare()`结合`mysqli_stmt_bind_param()`还是PDO的预处理语句,都可以有效地防止SQL注入,因为它们将用户输入的数据和SQL语句结构分开。 - 输入验证:通过`htmlspecialchars()`...
phpsql注入漏洞示例 sql注入漏洞修复
12-18
- **预编译语句与参数绑定**:使用PDO(PHP Data Objects)或MySQLi的预编译语句,可以防止SQL注入。例如,使用PDO的预编译语句: ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :...
PHP防止SQL注入的研究.pdf
09-19
PHP防止SQL注入方法】 1. **预处理语句(Prepared Statements)**:使用PDO或MySQLi扩展的预处理语句可以有效地防止SQL注入。预处理语句将查询结构与用户输入的数据分开,确保即使用户输入恶意代码,也无法改变...
利用SQL注入漏洞登录后台的实现方法
09-11
防止SQL注入,开发者应遵循以下最佳实践: - 使用参数化查询或预编译语句,如PHP的PDO或MySQLi的预处理语句。 - 不要将用户输入直接拼接到SQL语句中,而是使用变量。 - 对用户输入进行适当的清理和过滤,例如使用...
验证用户登录时用户名密码是否正确及如何防止sql注入
热门推荐
fandoudou123的专栏
01-07 1万+
public static boolean fun3(String username,String password) throws ClassNotFoundException, SQLException{ String driverClassName="com.mysql.jdbc.Driver"; String url="jdbc:mysql://localhost:3306/mydb"
php 怎么注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 2030
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
正则防止用户名,提交公告等文字注入
weixin_44133711的博客
10-21 138
$rollback = $request->post('rollback'); if (preg_match('/[\'\/~`\!@#\$%\^&\*\(\)_\-\+=\{\}\[\]\|;:"\<\>,\.\?\\\]/', $rollback)) { return return_json( "反馈失败!"); ...
php 防止代码注入,在PHP中,如何防止代码注入攻击?
weixin_42568801的博客
03-10 463
PHP中有这么多函数,我对这些函数的使用感到很混乱。有人使用:htmlspecialchars(),htmlentities(),strip_tags()等哪一个是正确的,大家通常使用什么呢?下面这行应该是正确的(如果有更好的请给我建议):$var = mysql_real_escape_string(htmlentities($_POST['username']));这一行可以防止MySQL注入...
用户名密码不能为空php,用户名密码验证在PHP中不起作用?
weixin_42511024的博客
03-19 166
我在PHP中编写了一个函数来检查MySQL数据库的用户名密码,并在成功验证后将其存储为会话。但是,无论我输入到输入框的任何值,它都会批准它并成功登录。我的登录代码不起作用这里是function queryByUserAndPass($tableName, $username, $password){$queryStatement = "SELECT * FROM ".$tableName." W...
php注入 通用,php通用注入注入详细说明
weixin_35716518的博客
03-11 333
php通用注入主要是过滤一些sql命令与php post get传过来的参考我们/要过滤一些非法字符,这样可以防止基本的注入了,那关第于apache 服务器安装设置方法也是必须的,管理员用户名密码都采取md5加密,这样就能有效地防止php注入.还有服务器和mysql教程也要加强一些安全范.对于linux服务器的安全设置:加密口令,使用“/usr/sbin/authconfig”工具打开密...
php服务器注入,Linux服务器Php注入范攻略
weixin_36374366的博客
04-01 112
Php注入的安全范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的方法:首先是对服务器的安全设置,这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval()函数将其转换成整数类型,如代码:...
php 释放内_PHP如何防止注入及开发安全
weixin_39938855的博客
12-21 145
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP10...
php将POST方法传入进来的用户名密码进行sql验证
最新发布
08-20
PHP 中可以使用如下的代码来将 POST 方法传入的用户名密码进行 SQL 验证: ``` $username = $_POST['username']; $password = $_POST['password']; $conn = mysqli_connect('localhost', 'user', 'password', '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值