PHP&MySQL——防止SQL注入-代码片段

最新推荐文章于 2021-03-25 01:01:55 发布
最新推荐文章于 2021-03-25 01:01:55 发布
阅读量311 收藏
点赞数
分类专栏: # SQL # PHP 文章标签: PHP 防止SQL注入 MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43272781/article/details/102167340
版权
SQL 同时被 2 个专栏收录
52 篇文章 2 订阅
订阅专栏
PHP
37 篇文章 1 订阅
订阅专栏 
<?php
/************************* 
说明: 
判断传递的变量中是否含有非法字符 
如$_POST、$_GET 
功能: 防注入 
*************************/

 //要过滤的非法字符 

$ArrFiltrate=array("'","%","#","<",">","or","and","union","where","select","update","chr","delete","%20from",";","insert","mid","master","set","chr(37)","iframe","script","javascript","vbscript","exec"); 
 //出错后要跳转的url,不填则默认前一页 
$StrGoUrl="Err.php"; 
 //是否存在数组中的值 
function FunStringExist($StrFiltrate,$ArrFiltrate){ 
    foreach ($ArrFiltrate as $key=>$value){ 
        echo "<script language='javascript'>console.log('正在判断表单 ".$StrFiltrate." 的值中是否存在".$value."子串')</script>";
        if (substr_count($StrFiltrate,$value)>=1){ 
            return true; 
        } 
    } 
    return false; 
} 
 //合并$_POST 和 $_GET 
$ArrPostAndGet=array();
foreach($_POST as $key=>$value){ 
    $ArrPostAndGet[$key]=$value; 
} 
foreach($_GET as $key=>$value){ 
    $ArrPostAndGet[$key]=$value;
} 
//验证开始 
foreach($ArrPostAndGet as $key=>$value){ 
    echo "<script language='javascript'>console.log('正在检验表单 ".$key." 的值')</script>"; 
    if (FunStringExist($value,$ArrFiltrate)){ 
        echo "<script language='javascript'>alert('出错了!表单 ".$key." 的值中包含非法字符串!\\n\\n请不要在表单中出现: % & * # ( ) 等非法字符!');</script>"; 
        if (empty($StrGoUrl)){ 
            echo "<script language='javascript'>history.go(-1);</script>"; 
        }else{ 
            echo "<script language='javascript'>window.location='".$StrGoUrl."';</script>"; 
        } 
        exit; 
    } 
} 
 /***************结束防止PHP注入*****************/

 ?>

参考文章

https://www.cnblogs.com/syx9527/p/3988472.html

https://zixuephp.net/article-130.html

Starzkg
关注
专栏目录
SQL注入基础学习(笔记)
部分学习记录
07-29 679
此文为自己学习SQL注入基础的笔记,由于是从某书直接复制过来的,存在格式问题,不过对于阅读应该影响不大,在此留个痕迹,便于以后复习和查阅,也希望能给刚刚开始学习的盆友们一点帮助吧。(不喜勿喷,谢谢) #GET基于报错的SQL注入 #GET基于报错的SQL注入发现 注入类型:数字、字符(单引号、双引号、双单引号、括号)、反斜杠 注入点?id=1 ##less-1 输入:’ 报错: 分析: ‘‘1’’ LIMIT 0,1’ 发现 ‘1’’ LIMIT 0,1 中多了一个单引号,推测输入内容为单引号引起来的字
实验吧——WEB-简单的登录题、后台登录、加了料的报错注入、你真的会PHP吗?
迷风小白
03-29 2831
一. 简单的登录题 这道题确实一点都不简单 二、后台登录 这道题打开就是一个登录框,输入一个1,提示密码错误,查看源代码。 <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $r...
PHP+MysqlSQL注入源码 下载
11-29
PHP+MysqlSQL注入源码、下载解压部署到环境中去就行了。
转:PHP防止SQL注入的方法
weixin_34258838的博客
10-08 779
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
PHP+MYSQL防范SQL注入
01-11 1113
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
PHPMySQL注入防御代码_PHP防止SQL注入实现代码
weixin_33835155的博客
01-28 342
PHP防止SQL注入实现代码更新时间:2011年02月19日 16:58:26 作者:PHP防止SQL注入实现代码,需要的朋友可以参考下。一、 注入式攻击的类型可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。如果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一...
java sql攻击_存在sql注入式攻击的最差实践代码(Java新手注意了)
weixin_33930436的博客
02-16 91
package cn.zhd;import java.io.*;import org.apache.log4j.*;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;import java.sql.Statement;import java.sql.ResultSet;publ...
phpmysql web development开发第20章源代码.doc
11-14
PHPMySQL Web开发——利用PHP获取股票报价、提交网站表单处理及FTP镜像】 在Web开发中,PHPMySQL是两个...在实际项目中,还需要考虑错误处理、安全性(如防止SQL注入和XSS攻击)以及用户体验优化等方面的问题。
php_mysql_mssql_oracle.rar_WEB开发_PHP_
08-11
在WEB开发领域,PHP是一种广泛使用的服务器端脚本语言,尤其在处理...在实际应用中,还需要考虑错误处理、安全(例如防止SQL注入)、性能优化等方面。了解并熟练掌握这些技能对于进行多数据库平台的WEB开发至关重要。
android-php开发最佳实践源码
04-30
- **安全处理**:包括输入验证、SQL注入防护、XSS防御等,确保服务器安全。 3. **项目结构**: - **服务端**:包含控制器(处理HTTP请求)、模型(业务逻辑和数据处理)、视图(非必需,通常返回JSON数据)以及...
PHPMYSQL注入及转义存在潜在威胁的字符串插件.rar
07-14
PHPMYSQL注入及转义存在潜在威胁的字符串插件介绍: 1.插件作用: 本插件对用户提交的信息进行过滤可以防止数据库注入,及转义用户可能提交的会被执行的脚本代码使之转为字符串,从而保证了网页的正常显示和数据库数据的安全。   2.插件说明: 阻止任何可能攻击服务器的意图,或者防止插入一些不需要的MySql命令、HTML语句或者Javascript脚本。 插件的两个个方法接受一个字符串,对它进行"过滤"处理后,就可以用在自己的网站上或MySql数据库里。 他们都需要一个参数: $string 一个需要"过滤"处理的字符串。   3.包含SanitizeString.class.php类文件,实例化,用得到的对象根据需求分别调用PIPHP_SanitizeString方法或者PIPHP_MySQLSanitizeString,前者为将可能会被执行的如js代码转义为普通字符串,后者为数据库防注入过滤。
360数据库防注入
01-06
360提供的防sql注入 php类库 直接在php文件开头加入include('360_safe3.php'),修正正则表达式,匹配更多的sql关键字
PHP之SQL防注入代码集合(建站常用)
weixin_34279579的博客
04-18 87
SQL防注入代码一 &lt;?php if (!function_exists (quote)) { function quote($var) { if (strlen($var)) { $var=!get_magic_quotes_gpc() ? $var : stripslashes($var); $var = str_replace("'","'",$var); } return "'$v...
php mysql注入代码_php框架防止注入代码
weixin_39979080的博客
02-02 109
属性的注入以读取为例,如果访问 $Component->property1 ,Yii在幕后干了些什么呢? 这个看看 yii\base\Component::__get()public function __get($name){$getter = 'get' . $name;if (method_exists($this, $getter)) {return $this->$gette...
mysqlsql注入php函数
luguo0816的专栏
01-13 4456
1、string mysql_escape_string ( string $unescaped_string ) 本函数将 unescaped_string 转义,使之可以安全用于 mysql_query()。 Note: mysql_escape_string() 并不转义 % 和 _。 本函数和 mysql_real_escape_string() 完全一样,除了 mysql_r
php实现防止sql注入的通用方法,PHP实现防止sql注入的通用方法
weixin_35881820的博客
03-25 116
function inject_check($sql_str) {return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);}function verify_id($id=null) {if(!$id) {exit('没有提交参数!...
mysql注入代码_SQL注入代码层防御
weixin_32002013的博客
01-19 535
[目录]0x0 前言0x1 领域驱动的安全1.1 领域驱动的设计1.2 领域驱动的安全示例0x2 使用参数化查询2.1 参数化查询2.2 Java中的参数化语句2.3 .NET(C#)中的参数化语句2.4 PHP中的参数化语句2.5 PL/SQL中的参数化语句0X3 移动应用中的参数化语句3.1 iOS应用程序中的参数化语句3.2 Android应用程序中的参数化语句3.3 HTML浏览器中存储的...
mysql简单防注入_防止sql注入(简单)
weixin_36003504的博客
01-28 343
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集使用方法如下:$sql ="select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' andpassword='".mysql_real_esc...
PHP配合MySQL防止SQL注入实战
PHP代码片段展示了如何在与MySQL交互时进行防注入操作。首先,它包含了配置文件`config/config.php`,通常这会包含数据库连接信息(如DB_HOST、DB_USER、DB_PASSWORD和DB_NAME)。然后,它使用`mysql_connect()`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Starzkg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值