php登录防止sql注入,PHP登录中的防止sql注入方法分析

最新推荐文章于 2022-07-29 11:44:31 发布
最新推荐文章于 2022-07-29 11:44:31 发布
阅读量147 收藏 1
点赞数
文章标签: php登录防止sql注入

防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧.

比如以下一段登录的代码:if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败');

mysql_select_db('test');

mysql_set_charset('utf8');

$sql = 'select * from test where username = "$username" and password = "$password"';

$res = mysql_query($sql);

if(mysql_num_rows($res)){

header('Location:./home.php');

}else{

die('输入有误');

}

注意上面的sql语句,存在很大的安全隐患,如果使用以下万能密码和万能用户名,那么可以轻松进入页面,代码如下:

1. $sql = 'select * from test where username = "***" and password = "***" or 1 = "1"';

很明显,针对这条sql语句的万能密码是: ***" or 1 = "1

2. $sql = 'select * from test where username ="***" union select * from users/* and password = "***"';

正斜线* 表示后面的不执行,mysql支持union联合查询,所以直接查询出所有数据; 所以针对这条sql语句的万能用户名是:***" union select * from users/*

但是,此注入只针对代码中的sql语句,如果代码如下:

$sql = "select * from test where username = $username and password = $password";

上面的注入至少已经不管用了,不过方法是一样的;

在使用PDO之后,sql注入完全可以被避免,而且在这个快速开发的时代,框架横行,已然不用过多考虑sql注入问题了.

下面整理了两个防止sql注册函数,代码如下:/* 过滤所有GET过来变量 */

foreach ($_GET as $get_key=>$get_var)

{

if (is_numeric($get_var)) {

$get[strtolower($get_key)] = get_int($get_var);

} else {

$get[strtolower($get_key)] = get_str($get_var);

}

}

/* 过滤所有POST过来的变量 */

foreach ($_POST as $post_key=>$post_var)

{

if (is_numeric($post_var)) {

$post[strtolower($post_key)] = get_int($post_var);

} else {

$post[strtolower($post_key)] = get_str($post_var);

}

}

/* 过滤函数 */

//整型过滤函数

function get_int($number)

{

return intval($number);

}

//字符串型过滤函数

function get_str($string)

{

if (!get_magic_quotes_gpc()) {

return addslashes($string);

}

return $string;

}

还有一些博客会这样写,代码如下:文章网址:

随意转载^^但请附上教程地址。

传奇panda
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPSQL注入代码,PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2392
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php登录防止注入,PHP web应用当存在注入的情况下,如何写用户登录防止通过注入绕过登录...
weixin_35045323的博客
03-09 117
PHP web应用当存在注入的情况下,如何写用户登录防止通过注入绕过登录假设条件不可改,不要回答防止注入一般的2写法·1$sql = "select * from user where user_name=$username and password=$password";$res = $db_obj->get_one($sql);if($res){//登录成功}··2$sql = "s...
php登录防止注入,php登陆表单防注入练习
weixin_34260080的博客
03-09 245
简单的表单登录代码,了解sql注入,禁止单引号还有反斜杠\ # and or order关键字的提交数据库:简单的源码:后台表单登录页面后台登录帐号:密码://判断有数据才执行后端代码,什么都不输入还是前端登陆界面,防止前端没有数据,后端验证老是弹出if(!empty($_REQUEST)){//数据不为空和空格,赋值账号和密码,都转化为小写,两边去除空格,否则报错$user =...
PHP最全防止sql注入方法
zhao_teng的博客
09-20 1万+
(1)mysql_real_escape_string -- 转义 SQL 语句使用的字符串的特殊字符,并考虑到连接的当前字符集  使用方法如下:   $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...
SQL注入php代码
08-24
SQL注入php,通用防注入类
php防止sql注入方法详解
10-20
本文主要介绍了php防止sql注入方法。具有很好的参考价值,下面跟着小编一起来看下吧
php防止SQL注入的最佳解决方法
10-27
本篇文章介绍了,php防止SQL注入的最佳解决方法。需要的朋友参考下
PHP登录环节防止sql注入方法浅析
10-25
主要介绍了PHP登录环节防止sql注入方法,需要的朋友可以参考下
PHP怎样防止SQL注入分析
10-25
主要介绍了PHP怎样防止SQL注入分析,非常具有实用价值,需要的朋友可以参考下
php操作mysql防止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
PHP防止数据库字符串登录SQL注入攻击
weixin_34161064的博客
12-07 122
<?php header("Content-Type:text/html;charset=UTF-8"); // 数据库配置 include_once 'config.php'; // 获得传递参数 $user_name=isset($_request['user_name'])?$_request['user_name']:''; $user_p...
php sql注入参数过滤器,防SQL注入过滤器的实现
weixin_36155081的博客
03-26 791
1- 配置web.xml,增加过滤器配置PreventSqlInjectSqlInjectFiltersensitive-wordsselectinsertdeletefromupdatecreatedestorydropalterandorlikeexeccountchrmidmastertruncatechardeclare;'%<>...
PHP防止SQL注入
聂群技术博客
03-29 3066
我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:代码如下:function injCheck($sql_str) { $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str); if ($
Laravel 预防 SQL 注入
wgchen
07-29 980
Laravel 预防 SQL 注入
php防止sql注入
weixin_30260399的博客
03-30 298
发布时间:9个月前热度:816 ℃评论数:1 三个函数: addslashes($string):用反斜线引用字符串的特殊字符' " \ $username=addslashes($username); mysql_escape_string($string):用反斜杠转义字符串的特殊字符,用于mysql_query()查询。 $username=my...
php sql登录防护,PHP登录防止sql注入方法分析
weixin_28911533的博客
04-02 159
防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧。比如以下一段登录的代码:代码如下if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连...
php过滤提交数据 防止sql注入攻击无标题笔记
09-30 373
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
php 防止sql注入
最新发布
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以防止恶意用户通过输入特殊字符来改变 SQL 查询的结构。使用 PDO 或者 MySQLi 扩展库提供的预处理语句功能可以有效防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam(':username', $username); $stmt->execute(); ``` 2. 使用参数化查询:参数化查询是指在 SQL 查询使用参数的方式,而不是直接将用户输入拼接到查询语句。这样可以确保用户输入被正确地转义和处理,从而防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); ``` 3. 输入验证和过滤:对用户输入进行验证和过滤,以确保输入符合预期的格式和类型。可以使用过滤器函数(如 filter_var)或自定义验证函数来验证输入数据的合法性。同时,对于需要存储到数据库的数据,应该使用适当的转义函数(如 mysqli_real_escape_string)对特殊字符进行转义。 示例代码: ```php $username = filter_var($_POST['username'], FILTER_SANITIZE_STRING); $password = mysqli_real_escape_string($conn, $_POST['password']); ``` 4. 使用安全的数据库连接:确保使用安全的数据库连接方式,如使用 PDO 或者 MySQLi 扩展库,并配置正确的连接参数。避免使用不安全的连接方式,如使用不可靠的连接库或者直接拼接用户输入的字符串作为连接参数。 需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安全性措施,并定期更新和维护应用程序以防止新的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值