sql注入 PHP处理以及php自带过滤和转义函数

最新推荐文章于 2021-03-28 00:32:51 发布
最新推荐文章于 2021-03-28 00:32:51 发布
阅读量966 收藏 2
点赞数 2
分类专栏: 基础原理 文章标签: sql php 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41794903/article/details/101029803
版权

一、sql注入
php 处理方式 php.ini 1magic_quotes_gps 设置(开启关闭) 默认开启接收的参数转义
1.限制用户输入,尽量选择输入,而非直接输入,都输入的字符串进行校验(验证方式正则,限制长度,单引号和双“-”转换)。
2.动态拼接sql,使用参数化的sql。
3.最小授权原则(数据库权限)。不可使用管理员权限直接连接数据库。
4.机密性的数据不可直接存储,加密或使用hash处理。
5.对异常错误进行封装处理。不可直接使用原始的报错信息。
6.采用辅助软件或者网站平台进行自测。

二、php 自带过滤和转义的函数。
htmlspecialchars() 将特定的符号转义为HTML格式
htmlentities() 所有字符都转成HTML格式
addslashes() 单双引号、反斜线及NULL加上反斜线转义
stripslashes() 去掉反斜线字符
base64_decode() base64解码
base64_encode() base64编码
rawurldecode() URL解码

古之恶来
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入转义php函数代码
01-20
sql注入:  正常情况下:  delete.php?id=3; $sql = ‘delete from news where id = ‘.$_GET[‘id’];  恶意情况:  delete.php?id=3 or 1; $sql = ‘delete from news where id = 3 or 1’; ——-如此执行后,...
sql注入知识点
m0_55772907的博客
04-27 3608
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
Sql注入转义
weixin_30340775的博客
12-11 740
del.php?id=3$sql = 'delete from news where id=' . $_GET['id']; del.php?id=3 or 1;这时 $sql = 'delete from news where id=3 or 1'这样,所有的新闻将都被删除.*/ /*addslashes 可以对某个变量转义,但是,$_POST是一个数组,可能有多个单元,如果每个单元手动...
mysql sql注入转义_node mysql防止SQL注入转义查询值
weixin_31953847的博客
01-21 885
node mysql防止SQL注入转义查询值,注意:这些转义值的方法仅在禁用NO_BACKSLASH_ESCAPES SQL模式(这是MySQL服务器的默认状态)时有效。为了避免SQL注入攻击,在SQL查询中使用任何用户提供的数据之前,都应该先对其进行转义。您可以使用mysql.escape(),connection.escape()或pool.escape()方法:var userId = 's...
php mysql特殊字符转义_php特殊字符转义详解
weixin_39957186的博客
01-28 668
在web安全中,需要对输出进行转义或对特殊字符进行编码,以保证原意不变。例如,o'reilly 在传送给mysql 数据库前需要转义成o\'reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。输出转义字符具体分为三步:1,识别输出2,输出转义3,区分已转义与未转义数据只对已过滤数据进行转义是很有必要的。尽管转义能防止很多常见安全漏洞,但它不能替代输入过滤。被污染数据必...
php如何处理sql语句,PHP的编写SQL语句时对需要转义字符的处理
weixin_35817967的博客
03-28 505
PHP的编写SQL语句时对需要转义字符的处理1. 对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,数据也会正常显示。 如果此时你对输入的数据作了addslashes()处理,那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。 2. 对于PHP magic_...
discuz的php防止sql注入函数
12-17
1. `daddslashes()`函数:这个函数的作用是对字符串进行转义,添加反斜杠 `\` 在可能引起SQL注入的特殊字符前,例如单引号 `'`、双引号 `"` 和 反斜杠 `\` 等。当`magic_quotes_gpc`设置为关闭或者强制转义时,此...
php is_numberic函数造成的SQL注入漏洞
09-04
然而,如标题和描述所指出的,不当使用`is_numeric`可能会导致SQL注入漏洞,这是一种严重的安全问题。 一、`is_numeric`函数详解 `is_numeric`函数不仅会识别整数和浮点数,还会接受以数字开头的字符串,比如"123...
php防止sql注入过滤分页参数实例
10-25
1. 使用预处理语句(Prepared Statements):即使输入被转义,预处理语句也能提供额外的保护层,因为它将SQL和数据分开处理,从而防止SQL注入。 2. 输入限制:限制用户输入的页码范围,例如,只接受1到100之间的...
360提供的phpsql注入代码修改类
05-02
阅读`readme.md`文件,通常会详细解释如何引入和使用这个防注入类,包括类的初始化、方法调用以及如何在实际的SQL查询和HTTP处理中集成这些防护机制。类的设计可能会包含如`escape_string()`用于转义SQL字符串,`...
php sql注入参数过滤器,防SQL注入过滤器的实现
weixin_36155081的博客
03-26 798
1- 配置web.xml,增加过滤器配置PreventSqlInjectSqlInjectFiltersensitive-wordsselectinsertdeletefromupdatecreatedestorydropalterandorlikeexeccountchrmidmastertruncatechardeclare;'%<>...
mysql sql注入转义_sql注入转义php函数代码
weixin_30738065的博客
01-21 223
sql注入:正常情况下:delete.php?id=3;$sql = 'delete from news where id = '.$_GET['id'];恶意情况:delete.php?id=3 or 1;$sql = 'delete from news where id = 3 or 1'; -------如此执行后,所有的记录将都被删除应该采取相关措施。。。比如用之前先判断是否是数字等等。...
聊一聊php程序的sql注入攻击与字符转义问题
云客的技术博客【云游天下 做客四方】
03-22 4982
详细介绍了sql注入攻击与php字符转义问题
java处理sql注入方法——sql转义
xzw_123的专栏
01-13 8745
昨天被扫描出来sql注入问题,之前以为已经解决了,没想到还是出现了。 网上现有方法: 1、preparestatement 由于每次执行都需要prepare,所以不推荐使用 2、一个单引号变成两个replace("'","''")其他的字符串替代方法有着局限性,就不列举了。 我最开始使用的是2方法,但是还是有方法可以破解。 后来参考php的addslashes函数,写了一个java的e
SQL数据插入字符串时转义函数
weixin_34292959的博客
04-22 487
函数一: 1 std::string CheckString(std::string&amp; strSource) 2 { 3 std::string strOldValue = "'"; 4 std::string strNewValue = "''"; 5 for(std::string::size_type pos(0); pos !=...
sql注入常用函数
weixin_41489908的博客
11-18 3138
​当所有情绪都堆在一起的时候,才发现自己已经不是那个一块糖就能开心的小孩子了。。。 ---- 网易云热评 一、MySql注入常用函数 1、system_user()系统用户名 2、user()用户名 3、current_user()当前用户名 4、session_user()链接数据库的用户名 5、database()数据库名 6、version()数据库版本 7、@@datadir数据库路径 8、@@basedir数据库安装路径 9、@@version_conpile_os操作系统.
php sql注入过滤
最新发布
09-20
PHP提供了一些内置的函数来防止SQL注入攻击,比如使用mysqli_real_escape_string函数对输入进行转义,或者使用PDO预处理语句来处理数据库查询。此外,还可以使用过滤函数filter_var和filter_input来过滤用户输入,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值