injectcheck php_php中防止sql注入的解决方法总结

最新推荐文章于 2021-03-25 01:01:55 发布
最新推荐文章于 2021-03-25 01:01:55 发布
阅读量113 收藏
点赞数
文章标签: injectcheck php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39957318/article/details/111814476
版权

sql注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。

SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。

为了防止SQL注入攻击,PHP自带一些函数可以对输入的字符串进行处理,例如PHP的MySQL操作函数中有addslashes()、mysql_real_escape_string()、mysql_escape_string()等函数,可将特殊字符和可能引起数据库操作出错的字 符转义。那么这三个功能函数之间有什么却别呢?下面我们就来详细讲述下。

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集

使用方法如下:

$sql="select count(*) as ctr from users where username

='".mysql_real_escape_string($username)."' and

password='".mysql_real_escape_string($pw)."' limit 1";

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。

(2)addslashes防止SQL注入

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。

当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。

(3) 打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置:magic_quotes_gpc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,

比如把 ' 转为 \'等,对于防止sql注射有重大作用。

最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。

if (!get_magic_quotes_gpc()) {

$lastname = addslashes($_POST[‘lastname’]);

} else {

$lastname = $_POST[‘lastname’];

}

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:

mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。

(4)自定义函数

functioninject_check($sql_str){

returneregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str);

}

functionverify_id($id=null){

if(!$id){

exit('没有提交参数!');

}elseif(inject_check($id)){

exit('提交的参数非法!');

}elseif(!is_numeric($id)){

exit('提交的参数非法!');

}

$id=intval($id);

return$id;

}

functionstr_check($str){

if(!get_magic_quotes_gpc()){

$str=addslashes($str);// 进行过滤

}

$str=str_replace("_","\_",$str);

$str=str_replace("%","\%",$str);

return$str;

}

functionpost_check($post){

if(!get_magic_quotes_gpc()){

$post=addslashes($post);

}

$post=str_replace("_","\_",$post);

$post=str_replace("%","\%",$post);

$post=nl2br($post);

$post=htmlspecialchars($post);

return$post;

}

总结一下:

addslashes() 是强行加;

mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;mysql_escape_string不考虑连接的当前字符集。

dz

中的防止sql注入就是用addslashes这个函数,同时在dthmlspecialchars这个函数中有进行一些替换$string =

preg_replace(/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/,

&\1,这个替换解决了注入的问题,同时也解决了中文乱码的一些问题。

weixin_39957318
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php防止SQL注入的最佳解决方法
10-27
本篇文章介绍了,php防止SQL注入的最佳解决方法。需要的朋友参考下
DVWA-----SQL Injection(SQL手工注入
m0_65712192的博客
11-21 5172
DVWA-----SQL Injection(SQL手工注入
injectcheck php_PHP安全最大化
weixin_39725365的博客
12-22 313
在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来防止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)上面文章是安全焦点上的关于PHP安全的文章,基本上比较全面的介绍了关...
injectcheck php_php注入
weixin_33260887的博客
01-13 144
/**通用防注入* add by wangbin,2011-07-10* email:[email protected]*/function inject_check($str){$tmp=preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/', $str); /...
injectcheck php_php简单实现sql注入方法
weixin_42514777的博客
02-23 177
php简单实现sql注入方法发布于 2016-04-25 17:55:57 | 79 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php。...
php防止注入工具的函数,PHP的一些防注入函数
weixin_34207865的博客
03-10 277
PHP的一些防注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
php防止sql注入方法详解
10-20
本文主要介绍了php防止sql注入方法。具有很好的参考价值,下面跟着小编一起来看下吧
php$_GET与$_POST过滤sql注入方法
10-25
主要介绍了php$_GET与$_POST过滤sql注入方法,包含了addslashes_deep函数与数组的操作方法,是非常具有实用价值的技巧,需要的朋友可以参考下
injectcheck php_external/plugins/check_inject/main.plugin.php · water176142735/ECMOS - Gitee.com
weixin_39687189的博客
12-22 85
/*** 店铺地址简写插件** @return array*/class Check_injectPlugin extends BasePlugin {function execute() {if (defined('IN_BACKEND') && IN_BACKEND === true) {return; // 后台无需执行} else {$inject_flag = $thi...
Mysql注入的outfile、dumpfile、load_file函数详解
09-09
主要介绍了Mysql注入的outfile、dumpfile、load_file,需要的朋友可以参考下
PHP的代码安全和SQL Injection防范
heiyeluren的blog(黑夜路人的开源世界)
06-14 8738
PHP的代码安全和SQL Injection防范注意: 本文已经发表在2005年4月的杂志上, 请勿转载。/************************* * 作者:heiyeluren * QQ:37035600  * Email:[email protected] *************************/在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器
php实现防止sql注入的通用方法,PHP实现防止sql注入的通用方法
weixin_35881820的博客
03-25 106
function inject_check($sql_str) {return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);}function verify_id($id=null) {if(!$id) {exit('没有提交参数!...
通用的PHP防注入漏洞攻击的过滤函数代码
x163326的专栏
10-22 2091
转自:http://www.q3060.com/list3/list117/17015.html //PHP整站防注入程序,需要在公共文件require_once本文件  //判断magic_quotes_gpc状态  if (@get_magic_quotes_gpc ()) {  $_GET = sec ( $_GET );  $_POST = sec ( $_POST ); 
PHP防注入与伪静态
树蛙PHPER
03-24 2393
<br />PHP防注入话不多说直接看代码<br />PHP防注入,主要是为了防止恶意写入后台数据库; //防注入函数 function inject_check($sql_str){ $check=eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file |outfile', $sql_str); if($check){ echo "输入非法内容"; exit(); }else{
PHP防注入的最简单函数
weixin_33898233的博客
05-29 92
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=&gt;$value) {$content[$key...
PHP防注入分析
binger819623的专栏
05-11 1092
在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来防止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)      先来说说安全问题,我们首先看一下两篇文章: http:/
比较好用的PHP防注入漏洞过滤函数代码
★昔梦无痕★
03-15 5200
<?php //PHP整站防注入程序,需要在公共文件require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc()) { $_GET = sec($_GET); $_POST = sec($_POST); $_COOKIE = sec($_COOKIE); $_FILES = sec($_FI
理解PHP 依赖注入|Laravel IoC容器
热门推荐
◆gHOST◇的专栏
06-27 1万+
看Laravel的IoC容器文档只是介绍实例,但是没有说原理,之前用MVC框架都没有在意这个概念,无意在phalcon的文档看到这个详细的介绍,感觉豁然开朗,复制粘贴过来,主要是好久没有写东西了,现在确实很懒变得! 首先,我们假设,我们要开发一个组件命名为SomeComponent。这个组件现在将要注入一个数据库连接。 在这个例子,数据库连接在component被创建,这种方
java sql注入 正则_Java-java程序防止sql注入方法
最新发布
05-25
Java程序防止SQL注入方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值