php sql注入防御方法,SQL注入防御的方法有哪些

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量214 收藏
点赞数
文章标签: php sql注入防御方法

SQL注入防御的方法有:1、PreparedStatement;2、使用正则表达式过滤传入的参数;3、字符串过滤。其中,采用预编译语句集是简单又有效的方法,因为它内置了处理SQL注入的能力。

c48db79eb65d550b7274e7d8e879959f.png

SQL注入防御的方法

下面针对JSP,说一下应对方法:

(推荐学习:mysql教程)

1、(简单又有效的方法)PreparedStatement

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

使用好处:

(1)代码的可读性和可维护性;

(2)PreparedStatement尽最大可能提高性能;

(3)最重要的一点是极大地提高了安全性。

原理:

sql注入只对sql语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析、准备,因此也就避免了sql注入问题。

2、使用正则表达式过滤传入的参数

要引入的包:import java.util.regex.*;

正则表达式:private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配:Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式:

检测SQL meta-characters的正则表达式 :/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式 :/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式 :/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入,UNION查询关键字的正则表达式 :/((\%27)|(\’))union/ix(\%27)|(\’)

检测MS SQL Server SQL注入攻击的正则表达式:/exec(\s|\+)+(s|x)p\w+/ix

等等…..

3、字符串过滤

比较通用的一个方法:(||之间的参数可以根据自己程序的需要添加)public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

String inj_stra[] = split(inj_str,"|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

凡涉及到执行的SQL中有变量时,用JDBC(或者其他数据持久层)提供的如:PreparedStatement就可以 ,切记不要用拼接字符串的方法就可以了。

weixin_39656853
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php防止SQL注入详解及防范
10-26
SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞
php防止sql注入方法详解
12-18
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证用户输入数据的漏洞。当攻击者在表单字段中插入恶意的SQL语句片段时,这些非法...通过这些方法,开发者可以大大降低PHP应用遭受SQL注入攻击的风险。
PHP防御sql注入攻击的方式
diyi6539的博客
07-25 264
长期以来,web的安全性存在着巨大的争议与挑战。其中,sql注入就是一种常见的一种攻击方法,开发人员普遍的做法就是不停的过滤,转义参数,可是我们php大法天生弱类型的机制,总是让黑客有机可乘,绕过防御防御总是在明争暗斗。 兄弟连(www.itxdl.cn)PHP大牛说过一句话,在一个程序中,60%的代码都应该是在进行各种防御。 其实,现在来看,防御sql注入其实并不需要...
PHP中MySQL注入防御代码_PHP+SQL 注入攻击的技术实现以及预防办法
weixin_29661797的博客
02-08 176
1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off2. 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。为什么说第二点最为重要?因为如...
基于PHPSQL注入防御
qq_43535990的博客
11-01 3428
基于PHPSQL注入防御一、漏洞页面实例二、分析及防御1.php输入验证2.PHP预处理 一、漏洞页面实例 需要用到的知识:PHP语言,Apache Web服务器,MySQL数据库 1.首先打开phpstudy,开启apache web服务和数据库 2.利用Navicat创建数据库(也可以用别的软件创建,在phpstudy里也可以创建,懂mysql命令行的也可以用cmd创建,看自己喜好) 创建数据库名为test,在数据库中创建表users,在表中插入两个字段name和password,添加若干数据。
PHP简单预防sql注入方法
12-18
以下是一些PHP防止SQL注入方法: 1. 使用参数化查询: 参数化查询是防止SQL注入的最有效方式之一。在PHP中,PDO (PHP Data Objects) 扩展提供了预处理语句,可以有效地避免SQL注入。例如: ```php $stmt = $pdo-...
利用SQL注入漏洞登录后台的实现方法
12-15
以下是对SQL注入的详细解释及其在登录后台中的实施方法。 1. **SQL注入的基本原理**: SQL注入的步骤主要包括寻找注入点、构造SQL语句、发送到数据库、执行并获取结果。攻击者通常会在用户输入字段中插入额外的SQL...
php简单实现sql防注入的方法
12-18
综合运用上述方法,可以在一定程度上防止SQL注入攻击。但值得注意的是,最佳实践是使用参数化查询或预处理语句(如PDO或MySQLi的预处理),它们可以确保数据和SQL语句结构分离,从根本上阻止SQL注入。同时,配合输入...
php sql注入防御方法,php怎么防御sql注入
weixin_35626107的博客
03-19 196
( 2010 ) 04 - 0057 - 2 SQL 注入攻击及防御策略杨 晶高戈 赵小刚摘 要: 针对目前流行的 SQL 注入攻击, 程序开发人员以及系统管理员需要了解并制定相应的......针对目前流行的SQL注入攻击,程序开发人员以及系统管理员需要了解并制定相应的预防及应对策略。确保服务器端数据信息的安全。试围绕SQL攻击的特点及如何防御来进行描述。...SQL 注入攻击分析与防御 第1章 ...
php sql注入 如何防止,PHP中如何防止SQL注入攻击
weixin_42300879的博客
03-10 92
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");因为用户可以输入:value'); DROP TABLE table;...
php如何防sql注入攻击,phpsql注入攻击(含php6)
weixin_39667801的博客
03-13 96
网站攻击最常见的就是sql注入式攻击了,防范于未然很重要~PHP可以开启环境变量配置为POST、GET、REQUEST、COOKIE等用户传过来的参数值自动增加转义字符“\”,以确保这些数据的安全性。在php.ini配置环境变量magic_quotes_gpc的值为On时开启自动添加转义字符,配置为Off时关闭。get_magic_quotes_gpc()函数就是获取magic_quotes_gp...
php防止sql注入方法
猿男孩的博客
06-20 735
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1302
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php sql注入教程,PHP简单高效防御sql注入方法分享
weixin_35106463的博客
03-13 221
一直以来WEB的安全都是非常严峻的话题。其中SQL注入是较为常见的攻击手段,很多时候,我们的代码都是为了处理不合规的数据,防止注入。但PHP作为弱类型语言,总是有我们未能考虑到的风险。本文分享了一个简单却很有效的防止SQL注入方法!记得很久以前看到过一位大牛说过的一句话,在一个程序中,60%的代码都应该是在进行各种防御。其实,现在来看,防御sql注入其实并不需要进行各种参数过滤,以下将开启干货模...
PHP防止SQL注入方法
tongluren381的博客
10-20 3762
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
PHP中MySQL注入防御代码_WEB安全 php+mysql5注入防御(一)
weixin_34599904的博客
01-19 120
注入利用函数:concat()函数将多个字符串连接成一个字符串database() 当前数据库,用途:获取数据version() 数据库版本,用途:利用版本特性,如5.0版本下的information_schema库user() 当前数据库用户,用途:判断权限@@version_compile_os 操作系统版本,用途:主要用来避免linux和windows的大小写问题影响mysql5.0及以上版...
PHP常见的SQL防注入方法
最新发布
weixin_43741253的博客
09-22 2867
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
SQL注入攻击详解:原理、危害与防御策略
5. **防御SQL注入**:课程提到了取消友好的HTTP错误消息以减少攻击者的信息收集,寻找和确认SQL注入点,以及应用安全编程方法来防止注入。其他防御措施包括使用ORM(对象关系映射)框架、使用存储过程和配置严格的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值