php如何防sql注入攻击,php防sql注入攻击(含php6)

最新推荐文章于 2024-07-19 08:58:48 发布
最新推荐文章于 2024-07-19 08:58:48 发布
阅读量105 收藏
点赞数
文章标签: php如何防sql注入攻击

网站攻击最常见的就是sql注入式攻击了,防范于未然很重要~

PHP可以开启环境变量配置为POST、GET、REQUEST、COOKIE等用户传过来的参数值自动增加转义字符“\”,以确保这些数据的安全性。

在php.ini配置环境变量magic_quotes_gpc的值为On时开启自动添加转义字符,配置为Off时关闭。

get_magic_quotes_gpc()函数就是获取magic_quotes_gpc的值的函数,On时为1,Off时为0。

开启后,在使用数据之前恢复正常的数据可采用以下函数qingzzDoStripSlashes()。/**

* 去除多余的转义字符

*/

function qingzzDoStripslashes() {

if (PHP_VERSION() 

$_GET = qingzzStripslashesDeep($_GET);

$_POST = qingzzStripslashesDeep($_POST);

$_COOKIE = qingzzStripslashesDeep($_COOKIE);

$_REQUEST = qingzzStripslashesDeep($_REQUEST);

}

}

/**

* 递归去除转义字符

*/

function qingzzStripslashesDeep($value) {

$value = is_array($value) ? array_map('stripslashesDeep', $value) : stripslashes($value);

return $value;

}

PHP6去除了magic quotes机制,因此只能自行添加了。/**

* 添加转义字符

*/

function qingzzAddslashes() {

if (PHP_VERSION >= 6 || !get_magic_quotes_gpc()) {

$_GET = qingzzAddslashesDeep($_GET);

$_POST = qingzzAddslashesDeep($_POST);

$_COOKIE = qingzzAddslashesDeep($_COOKIE);

$_REQUEST = qingzzAddslashesDeep($_REQUEST);

}

}

/**

* 递归增加转义字符

*/

function qingzzAddslashesDeep($value) {

$value = is_array($value) ? array_map('qingzzAddslashesDeep', $value) : addslashes($value);

return $value;

}

至于判断是否转义,自己增加一个全局变量就好了~

weixin_39667801
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入php代码
08-24
SQL注入php,通用注入类
PHPSQL注入攻击[三]
10-30
### PHPSQL注入攻击范策略 #### 一、引言 在网络安全日益受到重视的今天,如何有效地SQL注入攻击成为开发人员面临的重要课题之一。本文将继续深入探讨PHPSQL注入攻击的相关知识点,并介绍几种有效的护...
PHPSQL注入的方法
weixin_30289831的博客
09-23 91
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打...
PHP如何SQL注入攻击
最新发布
破损的天堂鸟博客
07-19 1012
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地止了SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
phpsql注入
weixin_30262255的博客
04-28 457
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了phpshell和SQL Injection的攻击,一下我们慢慢探讨。我...
phpsql注入
weixin_34290000的博客
12-03 77
PHP简单实现SQL注入的方法,结合实例形式分析了PHPSQL注入的常用操作技巧与注意事项,PHP源码备有详尽注释便于理解,需要的朋友可以参考下! 方法一:execute代入参数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25...
PHPsql注入攻击的方式
diyi6539的博客
07-25 273
长期以来,web的安全性存在着巨大的争议与挑战。其中,sql注入就是一种常见的一种攻击方法,开发人员普遍的做法就是不停的过滤,转义参数,可是我们php大法天生弱类型的机制,总是让黑客有机可乘,绕过御与御总是在明争暗斗。 兄弟连(www.itxdl.cn)PHP大牛说过一句话,在一个程序中,60%的代码都应该是在进行各种御。 其实,现在来看,sql注入其实并不需要...
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
如何在PHPSQL注入
热门推荐
请叫我搞向
08-17 2万+
如何在PHPSQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致S
PHP SQL注入漏洞
XF Android专栏
01-30 387
开发项目时,不止要考虑项目快速上线,考虑到项目的质量,同时重中之重要考虑到项目的安全性,止数据泄露,止数据库被删除,止数据被篡改等严重的漏洞问题,今天分享一个简单的SQL注入御,通过在项目入口文件直接引用该类,能御大部分的表单提交注入的sql语句。涉及到一些特殊的SQL指令,需要自行添加。
phpSQL注入详解及
10-26
SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞
ASP.NET网站程序SQL注入攻击方法
SoftFairy的专栏
12-06 1326
ASP.NET网站程序SQL注入攻击方法 一、什么是SQL注入攻击? 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。常见的SQL注入攻击过程类如: ⑴
PHP中MySQL注入御代码_PHP+SQL 注入攻击的技术实现以及预办法
weixin_29661797的博客
02-08 202
1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off2. 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。为什么说第二点最为重要?因为如...
PHPSQL注入
S_ZaiJiangHu的博客
05-12 223
需要注意的 (7) 关闭PHP版本信息在http头中的泄漏 我们为了止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中: expose_php = Off 比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。 (8) 关闭注册全局变量 在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问, 这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭: register_glob
PHPSQL注入
lvfl的博客
08-31 340
PHPSQL注入的三种方式 一,检验数据类型 1.数字类型 is_numeric() 函数 2.字符串类型(强校验) preg_match(“/^[a-zA-Z0-9]{6,}$/”,变量) 二,过滤和转义特殊字符 addslashes()对特定字符进行转义 mysqli_real_escape_string()对特定字符进行转义 三,利用mysql的预编译机制 $stmt...
基于PHPSQL注入
qq_43535990的博客
11-01 3559
基于PHPSQL注入御一、漏洞页面实例二、分析及御1.php输入验证2.PHP预处理 一、漏洞页面实例 需要用到的知识:PHP语言,Apache Web服务器,MySQL数据库 1.首先打开phpstudy,开启apache web服务和数据库 2.利用Navicat创建数据库(也可以用别的软件创建,在phpstudy里也可以创建,懂mysql命令行的也可以用cmd创建,看自己喜好) 创建数据库名为test,在数据库中创建表users,在表中插入两个字段name和password,添加若干数据。
phpsql注入攻击的方法
yyyfff43的专栏
07-07 598
function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 if($check){ echo "输入非法注入内容!";
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值