PHP最全防止sql注入方法

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量1.1w 收藏 13
点赞数
分类专栏: 技术专题

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 

使用方法如下:

 

  1. $sql = "select count(*) as ctr from users where username

  2. ='".mysql_real_escape_string($username)."' and

  3. password='". mysql_real_escape_string($pw)."' limit 1";

     

       

    使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。

    (2) 打开magic_quotes_gpc来防止SQL注入

    php.ini中有一个设置:magic_quotes_gpc = Off
      这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
      比如把 ' 转为 \'等,对于防止sql注射有重大作用。

         如果magic_quotes_gpc=Off,则使用addslashes()函数

    (3)自定义函数

       

     

  4. function inject_check($sql_str) {

  5. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);

  6. }

  7.  

  8. function verify_id($id=null) {

  9. if(!$id) {

  10. exit('没有提交参数!');

  11. } elseif(inject_check($id)) {

  12. exit('提交的参数非法!');

  13. } elseif(!is_numeric($id)) {

  14. exit('提交的参数非法!');

  15. }

  16. $id = intval($id);

  17.  

  18. return $id;

  19. }

  20.  

  21.    

  22. function str_check( $str ) {

  23. if(!get_magic_quotes_gpc()) {

  24. $str = addslashes($str); // 进行过滤

  25. }

  26. $str = str_replace("_", "\_", $str);

  27. $str = str_replace("%", "\%", $str);

  28.  

  29. return $str;

  30. }

  31.  

  32.    

  33. function post_check($post) {

  34. if(!get_magic_quotes_gpc()) {

  35. $post = addslashes($post);

  36. }

  37. $post = str_replace("_", "\_", $post);

  38. $post = str_replace("%", "\%", $post);

  39. $post = nl2br($post);

  40. $post = htmlspecialchars($post);

  41.  

  42. return $post;

  43. }

    转载请注明地址: http://www.phpddt.com/php/228.html 尊重他人劳动成果就是尊重自己!

zhao_teng
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SQL注入php代码
08-24
SQL注入php,通用防注入
php防止sql注入方法详解
10-20
PHP防止SQL注入方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安性。
PHP:如何防止PHP中的SQL注入
最新发布
新华编程特战队
04-23 1546
SQL注入防护对于确保数据库的安性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安性。定期进行安审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
360提供的phpsql注入代码修改类
05-02
从360提供的PHPSQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安风险的问题,希望对朋友们有所帮助。
如何防止PHP中的SQL注入
m0_62946064的博客
11-04 112
内容来自 DOC如果没有对用户输入进行任何修改就插入到SQL查询中,那么应用程序就会容易受到这是因为用户可以输入类似于“value’);避免SQL注入攻击的正确方法是将数据与SQL分离,这样数据将保持数据的形式,并且永远不会被SQL解析器解释为命令。无论使用哪种数据库,都可以通过来确保安。这些是单独发送到数据库服务器并与任何参数一起解析的SQL语句。这样,攻击者就无法注入恶意SQL。如果连接到的数据库不是MySQL,还可以参考特定于驱动程序的第二个选项(例如,和用于PostgreSQL)。
360 safe3.php源码,360提供的Php注入代码
weixin_42665255的博客
03-10 301
360提供的Php注入代码//Code By Safe3function customError($errno, $errstr, $errfile, $errline){echo "Error number: [$errno],error on line $errline in $errfile" ;die();}set_error_handler("customError",E_ERROR)...
php防止SQL注入的最佳解决方法
10-27
本篇文章介绍了,php防止SQL注入的最佳解决方法。需要的朋友参考下
探讨php防止SQL注入最好的方法是什么
10-27
为了防止SQL注入PHP提供了两种主要的方法:使用预处理语句和参数化查询。 1. 使用PDO(PHP Data Objects) PDO提供了预处理语句的支持,但需要注意的是,默认情况下,当PDO连接MySQL时,它会模拟预处理语句,而...
PHP登录环节防止sql注入方法浅析
12-18
防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试的时候一下就攻破了你的数据库,下面我们来简单的介绍一个...
360提供的Php注入代码
weixin_33733810的博客
10-11 559
<?php //Code By Safe3 function customError($errno, $errstr, $errfile, $errline) { echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ;...
PHP中如何防止SQL注入
zHHHe的专栏
08-03 1万+
这是StackOverFlow上一个投票非常多的提问 How to prevent SQL injection in PHP?   我把问题和赞同最多的答题翻译了下来。本人翻译水平很渣,请读者见谅。 提问:如果用户的输入能直接插入到SQL语句中,那么这个应用就易收到SQL注入的攻击,举个例子: $unsafe_variable = $_POST['user_input']; mysqli_q
php自带的几个防止sql注入的函数
bai615_2011的专栏
03-26 1067
SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。   为了防止SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安上的初步处理,也即Magic Quotes。(php.ini magic
PHP防止sql注入小技巧之sql预处理
luyaran的博客
08-29 3289
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有什么好处: 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 这种预处理呢,可...
php 过滤特殊字符及sql注入代码
chamtianjiao的专栏
12-27 6480
//方法一 //过滤',",sql语名 addslashes(); //方法二,去除所有html标签 strip_tags(); //方法三过滤可能产生代码 function php_sava($str)  {      $farr = array(          "/s+/",
php如何防sql注入攻击,phpsql注入攻击(含php6)
weixin_39667801的博客
03-13 95
网站攻击最常见的就是sql注入式攻击了,防范于未然很重要~PHP可以开启环境变量配置为POST、GET、REQUEST、COOKIE等用户传过来的参数值自动增加转义字符“\”,以确保这些数据的安性。在php.ini配置环境变量magic_quotes_gpc的值为On时开启自动添加转义字符,配置为Off时关闭。get_magic_quotes_gpc()函数就是获取magic_quotes_gp...
php防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 779
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
php 释放内防_php防止SQL注入的最佳解决方法
weixin_35147304的博客
12-30 98
如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");这是因为用户可以输入类似VALUE"); DROP TABLE表;...
php 防止sql注入
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安措施和最佳实践...需要注意的是,以上方法仅仅是防止 SQL 注入的基本措施,对于复杂的应用程序还需要综合考虑其他安性措施,并定期更新和维护应用程序以防止新的安漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值