PHP下简易SQL注入防范

最新推荐文章于 2022-04-07 00:19:50 发布
最新推荐文章于 2022-04-07 00:19:50 发布
阅读量448 收藏
点赞数
分类专栏: 编程&数据库 文章标签: php sql mysql string character function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whyce/article/details/4635503
版权

对每个客户端获取来的数据使用以下函数(函数来自于Lynda.com的PHP With MySQL Essential Training视频教程):

 

 

 

function mysql_prep($value) {
    //确认magic_quotes是否开启
    $magic_quote_active = get_magic_quotes_gpc();
    //确定当前版本是否支持mysql_real_escape_string函数
    $has_mysql_escape_func = function_exists("mysql_real_escape_string");
    if($has_mysql_escape_func) {
        //在有mysql_real_escape_string函数时,优先使用此函数
        //所以就算开启了Magic Quote也去掉他的效果
        if($magic_quote_active) {
            $value = stripslashes($value);
        }
        $value = mysql_real_escape_string($value);
    } else if(!$magic_quote_active) {
        //当无法使用mysql_real_escape_string函数,但是Magic Quote开启时不作处理。
        //当两者都不可使用时,直接加上跳脱字符(Escape Character),也就是单斜杠
        $value = addslashes($value);
    }
    return $value;
}

whyce
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP SQL注入
qpmglj的专栏
04-23 658
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
基于PHPSQL注入详解
热门推荐
herion_liu的博客
11-16 1万+
什么是SQL注入?就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 例如一个简单的登录表单(这里把密码写成明文方便说明): 当在表单中填写这样的语句进行提交登录时会出现这样的SQL语句select * from t_admin where admin_name='xxx' and admin_pwd='xxx'' or '1'
PHP中的代码安全和SQL Injection防范
08-06
PHP安全方面的,以前从网上弄下来的。
PHP防范SQL注入的具体方法
weixin_30384217的博客
10-11 63
什么是SQL注入SQL Injection) 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 防护 归纳一下,主要有以下几点: 1.永远不要信任用户的输入。对用户的输入进行校验,可以...
PDO预处理防御SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6364
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
PHP简易留言板 2.0.zip
05-27
在这个简易留言板中,可能存在SQL注入和跨站脚本(XSS)的风险,因为没有提及具体的防护措施。开发时应确保对用户提交的数据进行过滤和转义,防止恶意攻击。 总结来说,"PHP简易留言板 2.0.zip"是一个学习PHP Web开发...
基于PHP+MySQL简易新闻文章管理系统源码
10-15
6. **错误处理和安全**:可能涉及到输入验证、SQL注入防护和XSS攻击防范。 7. **HTTP协议和URL路由**:理解请求和响应的流程,以及如何根据URL进行不同页面的跳转。 8. **文件上传与下载**:如果系统支持,会涉及到...
PHP写的简易论坛。
12-19
考虑到安全问题,比如SQL注入和XSS攻击,项目应该进行了基本的防范。例如,对用户输入进行过滤和转义,使用预编译的SQL语句来防止SQL注入。 9. **文件上传** 如果论坛允许用户上传图片或其他附件,那么需要处理...
php简易投票系统
09-14
防范SQL注入攻击,应使用预处理语句或参数绑定。另外,需要验证和清理用户输入,防止XSS跨站脚本攻击。 8. **错误处理与日志记录**:良好的错误处理可以提供问题反馈并帮助调试。可以使用PHP的错误报告机制,并...
php+mysql 简易的音乐搜索系统(含后台管理)
10-15
PHP需要防范SQL注入攻击,确保用户输入的数据经过适当处理后再传入数据库。此外,为了保护用户隐私和系统安全,密码通常需要进行加密存储,并且后台访问应有限制和认证机制。 至于代码结构,一般会采用MVC(Model-...
Oracle用户、角色、权限和系统资源管理常用操作
士不可不弘毅
12-01 1255
查询用户信息 SELECT USERNAME,DEFAULT_TABLESPACE, TEMPORARY_TABLESPACE, PROFILE, ACCOUNT_STATUS, CREATED FROM dba_users; 查询用户空间使用和上限情况 SELECT username, tablespace_name, bytes/1024/1024 space
Oracle I/O优化小技巧
士不可不弘毅
12-08 815
重做日志文件与归档日志文件放到不同硬盘.数据文件与重做日志文件放到不同硬盘.不同的重做日志文件、控制文件、归档日志文件最好放到不同硬盘控制文件、重做日志文件放到高速硬盘。不行就放到同一硬盘高速区,即柱面号低的硬盘外部半圈。归档日志可以放在低速硬盘或分区单纯增加硬盘大小不太管用。最好增加硬盘物理数量和控制器数量。SYSTEM表空间只存放系统表和数据.还原表空间
Oracle重做日志文件常用操作
士不可不弘毅
11-19 738
强制切换重做日志 ALTER SYSTEM SWITCH LOGFILE; 强制产生检查点 ALTER SYSTEM CHECKPOINT; 间接产生检查点(设定实例恢复时间不超过mm秒,亦即执行检查点之后运行超过这个时间就再次执行检查点) ALTER SYSTEM SET FAST_START_MTTR_TARGET = 秒数; 获取重做日志文件信
Oracle索引管理常用操作
士不可不弘毅
11-23 622
通过调整CREATE_BITMAP_AREA_SIZE来定义位图缓存内存区大小.当这个缓存足够大时,可以有效的加快位图索引的操作速度,因为操作是在内存中进行. 普通索引更适用OLTP类型的操作,即数据变化频繁.BITMAP更适合DSS类型的操作,即查询多,量大.但是所有的索引在执行DML类型操作时,消耗都比较大.  要慎用索引. 尽量使用统一的EXTENT尺寸,数据块大小的5倍或
Oracle表空间和数据文件的常用操作
士不可不弘毅
11-19 618
表空间资料查询 SELECT tablespace_name, block_size, extent_management, segment_space_management FROM dba_tablespaces; 配和 SELECT tablespace_name, initial_extent, next_extent, max
Oracle简易优化技巧
士不可不弘毅
12-08 568
在数据仓库上使用位图索引在联机事务处理系统上面设定CURSOR_SHARING = SIMILAR, 数据仓库上面为EXACT.如:ALTER SYSTEM SET CURSOR_SHARING = SIMILAR;联机系统倾向于小的数据块(DB_BLOCK_SIZE),推荐8K. 数据仓库倾向于大的数据块加大一次同时输入输出的数据块数量.ALTER SYSTEM SE
Oracle常用备份与恢复操作
士不可不弘毅
12-03 555
查看归档模式状态 ARCHIVE LOG LIST 冷备份. a.) 查询v$controlfile获取控制文件信息 b.) 查询v$logfile获取重做日志信息 c.) 查询dba_data_files, v$datafile, v$tablespace获取数据文件与表空间对应关系,和文件信息. d.) 使用show parameter
Oracle数据完整性约束常用操作
士不可不弘毅
11-25 509
信息查询 SELECT * FROM dba_cons_columns; 和 SELECT constraint_name, table_name, constraint_type, status, deferrable, deferred, validated FROM dba_constraints; 变更约束执行时间(是否延缓执行,只对可延缓约束有效)
SQL注入防范基础教程
"SQL注入是一种常见的网络安全威胁,攻击者通过在Web表单中插入恶意SQL命令,欺骗服务器执行这些命令,从而获取、修改、删除数据库中的敏感信息。本文将介绍SQL注入的基本概念、危害以及如何防止SQL注入攻击。" SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值