php登录防止sql注入,PHP登录中的防止sql注入方法分析

防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧.

比如以下一段登录的代码:if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败');

mysql_select_db('test');

mysql_set_charset('utf8');

$sql = 'select * from test where username = "$username" and password = "$password"';

$res = mysql_query($sql);

if(mysql_num_rows($res)){

header('Location:./home.php');

}else{

die('输入有误');

}

注意上面的sql语句,存在很大的安全隐患,如果使用以下万能密码和万能用户名,那么可以轻松进入页面,代码如下:

1. $sql = 'select * from test where username = "***" and password = "***" or 1 = "1"';

很明显,针对这条sql语句的万能密码是: ***" or 1 = "1

2. $sql = 'select * from test where username ="***" union select * from users/* and password = "***"';

正斜线* 表示后面的不执行,mysql支持union联合查询,所以直接查询出所有数据; 所以针对这条sql语句的万能用户名是:***" union select * from users/*

但是,此注入只针对代码中的sql语句,如果代码如下:

$sql = "select * from test where username = $username and password = $password";

上面的注入至少已经不管用了,不过方法是一样的;

在使用PDO之后,sql注入完全可以被避免,而且在这个快速开发的时代,框架横行,已然不用过多考虑sql注入问题了.

下面整理了两个防止sql注册函数,代码如下:/* 过滤所有GET过来变量 */

foreach ($_GET as $get_key=>$get_var)

{

if (is_numeric($get_var)) {

$get[strtolower($get_key)] = get_int($get_var);

} else {

$get[strtolower($get_key)] = get_str($get_var);

}

}

/* 过滤所有POST过来的变量 */

foreach ($_POST as $post_key=>$post_var)

{

if (is_numeric($post_var)) {

$post[strtolower($post_key)] = get_int($post_var);

} else {

$post[strtolower($post_key)] = get_str($post_var);

}

}

/* 过滤函数 */

//整型过滤函数

function get_int($number)

{

return intval($number);

}

//字符串型过滤函数

function get_str($string)

{

if (!get_magic_quotes_gpc()) {

return addslashes($string);

}

return $string;

}

还有一些博客会这样写,代码如下:文章网址:

随意转载^^但请附上教程地址。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以防止恶意用户通过输入特殊字符来改变 SQL 查询的结构。使用 PDO 或者 MySQLi 扩展库提供的预处理语句功能可以有效防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam(':username', $username); $stmt->execute(); ``` 2. 使用参数化查询:参数化查询是指在 SQL 查询使用参数的方式,而不是直接将用户输入拼接到查询语句。这样可以确保用户输入被正确地转义和处理,从而防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); ``` 3. 输入验证和过滤:对用户输入进行验证和过滤,以确保输入符合预期的格式和类型。可以使用过滤器函数(如 filter_var)或自定义验证函数来验证输入数据的合法性。同时,对于需要存储到数据库的数据,应该使用适当的转义函数(如 mysqli_real_escape_string)对特殊字符进行转义。 示例代码: ```php $username = filter_var($_POST['username'], FILTER_SANITIZE_STRING); $password = mysqli_real_escape_string($conn, $_POST['password']); ``` 4. 使用安全的数据库连接:确保使用安全的数据库连接方式,如使用 PDO 或者 MySQLi 扩展库,并配置正确的连接参数。避免使用不安全的连接方式,如使用不可靠的连接库或者直接拼接用户输入的字符串作为连接参数。 需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安全性措施,并定期更新和维护应用程序以防止新的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值