SQL注入的PHP网页,PHP网页防范SQL注入方法配置

最新推荐文章于 2023-06-24 23:11:07 发布
最新推荐文章于 2023-06-24 23:11:07 发布
阅读量227 收藏
点赞数
文章标签: SQL注入的PHP网页
本文介绍了如何通过修改php.ini文件来增强服务器的安全性,防范SQL注入攻击。建议设置'safe_mode=On','display_errors=Off'以避免错误信息暴露,并启用'magic_quotes_gpc'以自动转义用户输入,减少注入风险。同时,提供了一段代码示例,用于在没有服务器管理权限时对用户提交的数据进行检查和记录。
摘要由CSDN通过智能技术生成

前提条件是我们需要有服务器的管理权限,就是可以修改php.ini文件了,下面我来介绍修改php配置文件来防范SQL注入方法有需要学习的朋友可参考.

为了安全起见,可以打开"php.ini"文件的安全模式,设置"safe_mode=On";显示 PHP 执行错误信息的 "display_erros"选项如果打开的话,将会返回很多可利用的信息给入侵者,因此要将其设置为"display_erros=off";这样,PHP 函数执行错误后的信息将不会在客户端的浏览器中进行显示.

此外,在文件还有一个很重要的配置选项,如果将其中的"magic_quotes_gpc"项设置为"On",PHP 程序会自动将用户提交的变量是含有的"'"、"""、""自动转为含有反斜线的转义字符,这个选项类似 ASP 程序中的参数过滤,可以对大部分字符型注入攻击起到防范的作用.

一段程序非常不错,如果你没有服务器管理权限,可以使用如下代码:||| $value) {

$this->stopattack($key, $value, $this->getfilter);

}

foreach ($_POST as $key => $value) {

$this->stopattack($key, $value, $this->postfilter);

}

foreach ($_COOKIE as $key => $value) {

$this->stopattack($key, $value, $this->cookiefilter);

}

}

/**

* 参数检查并写日志

*/

public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq) {

if (is_array($StrFiltValue)) $StrFiltValue = implode($StrFiltValue);

if (preg_match("/" . $ArrFiltReq . "/is", $StrFiltValue) == 1) {

$this->writeslog($_SERVER["REMOTE_ADDR"] . " " . strftime("%Y-%m-%d %H:%M:%S") . " " . $_SERVER["PHP_SELF"] . " " . $_SERVER["REQUEST_METHOD"] . " " . $StrFiltKey . " " . $StrFiltValue);

showmsg('您提交的参数非法,系统已记录您的本次操作!', '', 0, 1);

}

}

/**

* SQL注入日志

*/

public function writeslog($log) {

$log_path = CACHE_PATH . 'logs' . DIRECTORY_SEPARATOR . 'sql_log.txt';

$ts = fopen($log_path, "a+");

fputs($ts, $log . "rn");

fclose($ts);

}

}

教程链接:

随意转载~但请保留教程地址★

云集山人
关注
PHP SQL注入
qpmglj的专栏
04-23 672
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
PHP -- SQL 注入讲解
tryheart的博客
12-02 1136
概念 SQL 注入漏洞,本质是语句的混淆,对用户输入的语句过滤不严,导致语句拼接成新的语句,达到注入的目的。 原理 参数用户可控:前端传给后端的参数内容是用户可控的。 参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。 注入点类型 数字型 select * from tables where id = 1; 字符型 select * from tables where id = '1'; 搜索型 select* from tables where id like '%1%'; 基于 u
php+mysql注入视频_php+mysql注入页面实现
weixin_42596011的博客
01-19 112
首先来借鉴一下注入点,以往的注入点是这样的http://www.xxx.com/show.php?id=1,典型的数字型注入。$id=$_GET['id'];//获取GET方式传过来的值并赋值给变量既然是注入那么肯定要操作数据库。$con = mysql_connect('127.0.0.1','root','root');//使用connect这个函数来连接数据库,然后赋值给变量,connect...
php开发的网站sql注入,php – ADOdb中的SQL注入和一般网站安全性
weixin_39622150的博客
03-17 156
我已经做了很多阅读,但仍然不理解100%SQL注入的发生方式!我想从那些知道基于我的例子的SQL注入的具体例子中看到它,因此它可以被复制,测试和修复.我试过SQL注入我的代码而不能,所以我希望有人来证明我的意思!1.我认为SQL注入只能通过POST或GET方法进行,这意味着在网站上它应该是帖子形式,例如’注册或搜索’或查询’search.php?tags = love’?说这可以注入以下具有POS...
存在sql注入漏洞的php,TCCMS在app/controller/news.class.php存在sql注入漏洞
weixin_39974223的博客
03-13 142
### 1. 漏洞成因在app/controller/news.class.php中all函数对参数过滤不严```public function all() {$this->userIsLogin ();$_Obj = M($this->objName);$categoryObj = M("category");$_Obj->pageSize = 20;$where = "1=1...
php防止SQL注入详解及防范
10-26
为了防范SQL注入,开发者首先需要对输入数据进行过滤。这意味着,在将用户输入的数据用于数据库查询之前,要确保输入内容不包含任何恶意的SQL命令片段。例如,可以使用正则表达式对输入数据进行验证,拒绝包含潜在...
php防止sql注入方法详解
12-18
PHP环境中,防止SQL注入至关重要,以下是一些有效的防范策略: 1. 使用预处理语句和参数绑定: PHP提供了PDO(PHP Data Objects)扩展,支持预处理语句和参数绑定。通过预处理语句,SQL语句在执行前会被发送到...
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来防范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
PHP防范SQL注入的具体方法详解(测试通过)
10-25
PHP防范SQL注入是确保Web应用程序安全的关键措施之一,因为SQL注入攻击可能导致数据泄露、数据库破坏甚至是整个系统的瘫痪。以下是一些详细的防范方法: 1. **开启或使用`magic_quotes_gpc`或`addslashes()`函数**...
php sql注入教程,SQL注入
weixin_42134285的博客
03-13 410
如果需要通过网页需要用户输入的数据并将其插入到一个SQL数据库,可能会留下敞开称为SQL注入安全问题。这一课将教你如何防止这种情况的发生,并帮助您保护服务器端脚本,如Perl脚本中使用的SQL语句。注入通常当要求一个用户输入,就如他们的名字,但他们给你不是一个名字,会在不知不觉中对数据库运行SQL语句时发生问题。千万不要信任用户提供的数据,处理这些数据只是验证后;作为一项规则,通过模式匹配进行。在...
SQL注入解决方案(PHP为例)
最新发布
is_scarecrow的博客
06-24 547
sql注入
谈谈PHP网站的防SQL注入
weixin_33801856的博客
05-10 92
SQL(Structured Query Language)即结构化查询语言。SQL 注入,就是把 SQL 命令插入到 Web 表单的输入域或页面请求参数的查询字符串中,在 Web表单向 Web 服务器提交 GET 或 POST 请求时,如果服务器端未严格验证参数的有效性和合法性,将导致数据库服务器执行恶意的 SQL 命令。 SQL 注入攻击的过程: (1)判断 Web 应用是否可以进行 SQ...
手把手叫你SQL注入攻防(PHP语法)
热门推荐
wusuopuBUPT的专栏
04-18 1万+
闲话不说,直接来! 理论补充:1.http://blog.csdn.net/wusuopubupt/article/details/8752348                          2.http://www.cnblogs.com/hkncd/archive/2012/03/31/2426274.html 1.什么是SQL注入,猛戳wikipedia查看 2.本地测
实战:某网站的SQL注入php+mysql+Apache)
anlalu233的博客
04-24 889
1.列出所有数据库 sqlmap -u “http://www.aaa.com/a.php?id=2” --dbs 2.列出数据库"hailc0218"的所有表 sqlmap -u “http://www.aaa.com/a.php?id=2” --tables -D"hailc0218" 3.列出数据库"hailc0218"表“user”的所有字段 sqlmap -u “http://www...
php web sql注入,PHPWEB多处SQL注入漏洞打包
weixin_39933336的博客
03-18 441
漏洞概要缺陷编号:WooYun-2013-034900漏洞标题:PHPWEB多处SQL注入漏洞打包相关厂商:phpweb漏洞作者:只发通用型提交时间:2013-08-21 16:02公开时间:2013-11-19 16:02漏洞类型:SQL注射漏洞危害等级:高自评Rank:15漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态:2013-08-21: 积极联系厂商并且等待厂商认领...
基于php的web应用sql注入,【技术分享】基于SQLite数据库的Web应用程序注入指南
weixin_29375669的博客
04-11 200
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿概述SQL注入又称hacking之母,是造成网络世界巨大损失而臭名昭著的漏洞之一,研究人员已经发布了许多关于不同SQL服务的不同攻击技巧相关文章。对于MSSQL,MySQL和ORACLE数据库来说,SQL注入的payload一抓一大把,你可以在web应用中利用SQL注入漏洞进行攻击,如果其中任何一种数据库被用...
mysql 登录框注入,在PHP的登录页面中防止SQL注入
weixin_39873456的博客
02-18 264
I have a login page (login.php) and below is the code I am trying to use to authenticate the user by using mysqli_prepare:if(!$_POST["username"] || !$_POST["password"]){echo "Username and Password fie...
注入攻击 php sql,PHP+SQL 注入攻击的技术实现以及预防办法
weixin_30407563的博客
03-27 190
1. PHP 配置文件 PHP.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off2. 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为,对用户输入的数据类型进行检查,向 MysqL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点,从而导致后门大开。为什么说第二点最为重要?因为如果没...
php sql注入
技术的搬运工
01-16 2321
在应用程序中,为了和用户交互,允许用户提交输入数据,假如应用程序并没有对用户输入数据进行处理,攻击者可以输入一些跟sql语句相关的字符串(一般带有特殊字符)从而让应用程序执行危险的 SQL 操作,导致泄漏机密数据(比如用户信息)或直接修改删除线上的数据。
PHP SQL注入漏洞解析与防护策略
"这篇文档是关于PHPSQL注入漏洞的示例及修复方法。通过介绍SQL注入的步骤和提供一个具体的实例,展示了如何利用注入漏洞非法访问数据库,并给出了防范措施。" 在PHP web开发中,SQL注入是一种常见的安全威胁,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值