php+mysql网站预防SQL注入的一点小方法

最新推荐文章于 2023-11-12 23:31:10 发布
最新推荐文章于 2023-11-12 23:31:10 发布
阅读量1.6k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: php 文章标签: php sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenbalala/article/details/52312528
本文介绍了一些防止SQL注入的基本方法,包括关闭错误提示、验证数据类型和格式、避免使用字符串拼接构建SQL语句、过滤特殊字符及使用参数绑定等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.最基本的就是要关闭网站的错误提示,php配置文件中设置display_errors = Off,一些集成环境的默认错误提示是On

2.一些查询,更新,插入时,最好先判断数据类型和数据格式,比如需要插入邮箱就只能是邮箱格式,不紧在前台要验证,在后台,以及操作数据库时更要验证

3.sql语句最好不要用拼接的方式来组合,最好不要自己写sql语句。

4.过滤特殊字符,常用的php函数有addslashes   addcslashes  htmlspecialchars等。

5.绑定参数,比如

$mysqli = new mysqli("localhost", "root", "123456", 'shop');
$sql = "SELECT * FROM admin WHERE supername=?";
$res = $mysqli->prepare($sql);
$res->bind_param("tttna", $supername);
使用php框架开发应用时尽量采用框架自带的参数绑定机制,比如thinkphp5中
Db::execute('insert into admin (supername,age) values (?, ?)', ['cheneee','99']);
$result = Db::query('select * from admin where supername = ?', ['cheneeee']);

以上只是防注入的一点简单方法

PHP防范SQL注入攻击的5种高效方法与实践
独立开发者阿乐的博客
07-23 964
PHP防范SQL注入攻击指南 本文全面介绍了PHP中防范SQL注入攻击的关键技术。SQL注入是危害严重的Web安全漏洞,可导致数据泄露、篡改甚至服务器被控。文章详细解析了SQL注入原理与危害,并提供了多种防御方案: 预处理语句:PDO和MySQLi预处理是首选方案,通过参数绑定从根本上防止注入 输入验证:严格的格式检查与过滤作为第二道防线 ORM框架:Eloquent等ORM自动处理安全查询 权限控制:数据库用户遵循最小权限原则 进阶防护:WAF规则、存储过程及日志监控 文章还指出了常见误区,强调预处理语句
PHP+MysqlSQL注入源码 下载
01-01
这个"PHP+MysqlSQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入PHPMySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...
SQL注入php代码
08-24
SQL注入php,通用防注入
php注入
weixin_30402343的博客
06-14 242
引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2. 开发者没有对数据类型进行检查和转义   不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的...
php操作mysql防止sql注入
chuaiyuan6611的博客
06-02 429
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的防注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
php中防止SQL注入方法[转载]
zhonglijunyi的专栏
01-21 546
php中防止SQL注入方法 原文地址:http://daybook.diandian.com/post/2011-09-16/5079753 【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置ph
php+MySQL防止sql注入
最新发布
php-yyds
11-12 676
通过将用户的输入参数与SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理。预处理语句通过绑定参数的方式将数据与SQL语句分离,确保数据在传递到数据库时被正确地转义和处理,有效地防止了SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
PHP+mysql防止SQL注入方法小结
12-20
本文实例讲述了PHP+mysql防止SQL注入方法。分享给大家供大家参考,具体如下: SQL注入 例:脚本逻辑 $sql = "SELECT * FROM user WHERE userid = $_GET[userid] "; 案例1: 复制代码 代码如下:SELECT * FROM t ...
PHP+MYSQL防范SQL注入
01-11 1150
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
mysql 8.0 自定义函数_PHP+Mysql防止SQL注入方法(life)
weixin_39929377的博客
11-26 238
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下我的官方群点击此处。方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users where username =...
php防止sql注入
代码路上
07-12 1076
一个优秀的PHP程序员除了要能顺利的编写代码,还需要具备使程序处于安全环境下的能力。今天我们要向大家讲解的是有关PHP防范SQL注入的相关方法PHP Date()出现错误的具体解决办法PHP应用发展的详细分析为你详细讲解PHP重定向代码的具体实现功正确理解PHP转义的真正含义PHP万能密码的实际作用分析 说到网站安全就不得不提到SQL注入SQL Injection),如果你用
php mysql防止sql注入详细说明(2)
梦一笑轩
12-31 481
最近在折腾 PHP + MYSQL的编程。了解了一些 PHP SQL 注入攻击的知识,于是写了这篇文章 http://www.xiaohui.com/weekly/20070314.htm,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2
php操作mysql防止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
php注入(一)
qxs101307204的专栏
10-20 384
Php注入式(一)    1.函数:  Php环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的
php网站如何防止sql注入
の原為じ簡單
12-13 211
php网站如何防止sql注入网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,防止自己的网站sql注入。 如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起: Php注入的安全防范通过上面的过程,我们可以了解到php注入...
php mysqlsql注入_phpsql注入方法
weixin_29605607的博客
02-28 358
phpsql注入方法:1、使用mysql_real_escape_string方法转义SQL语句中使用的字符串中的特殊字符;2、打开magic_quotes_gpc来防止SQL注入;3、通过自定义函数防sql注入PHP+Mysql防止SQL注入方法这篇文章介绍的内容是关于PHP+Mysql防止SQL注入方法方法一:mysql_real_escape_string -- 转义 SQL 语...
phpmysqli防注入攻略
我点评的博客
08-01 447
为了防止SQL注入攻击,我们可以使用mysqli类中的prepare语句、mysqli_real_escape_string函数以及正确的数据类型等方法。在使用mysqli_real_escape_string函数时,我们需要将需要转义的字符串作为第一个参数传入函数中。mysqli是PHP中与MySQL交互的扩展,它提供了一种有效的防止SQL注入攻击的方法mysqli_real_escape_string函数是mysqli扩展中一个非常重要的函数,它可以将特殊字符转义,从而避免SQL注入攻击。
php mysql注入_php SQL注入的一些经验
weixin_28678517的博客
02-28 231
产生原因一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如:$id = $_GET['id'];$sql= "SELECT name FROM users WHERE id = $id";因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。如果按照下面方式写,就安...
PHP+Mysql实现SQL注入漏洞源码下载指南
标题和描述中提到的知识点包括了使用PHP语言结合MySQL数据库进行开发,并且涉及到了安全领域的知识点——SQL注入。在此基础上,我们将详细说明这两个知识点以及与标签“Mysql SQL注入”相关的内容。 **PHP+Mysql...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值