防御SQL注入方法(2)-过滤特殊字符

最新推荐文章于 2025-05-27 15:01:42 发布
原创 最新推荐文章于 2025-05-27 15:01:42 发布 · 4.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql注入

本文介绍了三种防御SQL注入的方法:无过滤、使用mysqli_real_escape_string()函数过滤和使用PDO结合预编译语句。通过示例代码详细展示了每种方法的工作原理及优缺点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防御SQL注入的一个重要方法是对用户输入进行过滤,PHP中mysqli_real_escape_string(connection,escapestring)和mysqli_escape_string(connection,escapestring)函数就是对用户输入进行转义的,两者功能一样。mysql_real_escape_string()与mysql_escape_string()的转义方式在PHP5.3以上的版本中已经弃用。以DVWA中SQL注入源码为例,了解过滤函数的用法。
(1)没有任何过滤

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

idSQLquery = “SELECT first_name, last_name FROM users WHERE user_id = ‘$id’;”,存在SQL注入的风险。
(2)使用mysqli_real_escape_string(connection,escapestring)函数过滤

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

使用mysqli_real_escape_string(connection,escapestring)函数对输入$id进行过滤,可以防止特殊字符造成的SQL命令拼接。
但是现在使用mysqli_real_escape_string()已经不是最好的方法了,提倡使用PDO(PHP数据对象),需要PHP5以上版本的面向对象作为支持。它是在底层实现的数据库操作接口,可以实现高级的数据库操作,比如调用存储过程,因此安全性更高。下面同样借用DVWA源码进行说明。
(3)安全性更高的PDO

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();
        $row = $data->fetch();

        // Make sure only 1 result is returned
        if( $data->rowCount() == 1 ) {
            // Get values
            $first = $row[ 'first_name' ];
            $last  = $row[ 'last_name' ];

            // Feedback for end user
            $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

此例来自DVWA安全性等级为impossible的源码,例子中使用PDO对象的同时还使用了预编译函数prepare()绑定变量,更加确保了SQL语句的正确执行。

littlecjx
关注
实现防sql注入特殊字符切面过滤拦截
weixin_38772076的博客
10-10 1083
实现防sql注入特殊字符切面过滤拦截 不使用过滤器、spring拦截器原因: 1、http输入流不能重复读取,需要重写HttpServletRequest的相关方法,将http输入流第一次读取的数据缓存起来。 2、基于尽可能少修改原代码进行在这里插入代码片扩展的原则,避免修改代码造成的未知风险。 package com.to8to.tbt.aoc.interceptor; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSON
SQLServer过滤文件名特殊字符(利用SQLServer修改文件物理地址名称)
狮子座小小羊
07-10 2121
declare @cmd nvarchar(2000) declare @messageid nvarchar(200) declare @serialid nvarchar(200) declare @oldFileName nvarchar(500) declare @fileName nvarchar(500) declare @filePath n
防止xss和sql注入:JS特殊字符过滤正则
10-27
防止xss和sql注入:JS特殊字符过滤正则,需要的朋友可以参考一下
SQL 三种注入方式详解,(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-27 3916
MySQL 提供了 load_file() 函数,可以帮助用户快速读取文件,但文件的位置必须在服务器上,文件必须为绝对路径,且用户必须有 FILE 权限,文件容量也必须小于 max_allowed_packet 字节 (默认为 16MB,最大为 1GB)SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统
SQL注入攻击及其解决方案--替换特殊字符.rar
09-02
SQL注入攻击及其解决方案--替换特殊字符.rar
SQL Server查询中特殊字符的处理方法
05-31
此文档中详细的记载了,SQL Server查询中特殊字符的处理方法,希望可以帮到下载的朋友们!
jquery过滤特殊字符',防sql注入的实现方法
10-21
尽管这种方法可以过滤一些常见的特殊字符,但要完全防止SQL注入,还需要更全面的解决方案。例如,使用预编译的SQL语句(如参数化查询或存储过程)可以极大地降低SQL注入的风险。另外,后端服务器应该负责所有的数据...
C#实现过滤sql特殊字符方法集合
09-03
在C#中,防止SQL注入攻击的一个重要方法过滤SQL特殊字符SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
防御SQL注入方法总结
09-10
总之,防御SQL注入需要多层面的策略,包括但不限于预编译SQL、数据类型验证、输入过滤、使用安全框架和编码实践,以及定期的安全审核。通过这些方法,可以显著降低SQL注入攻击的风险,保护数据库和应用程序的安全。
过滤SQL特殊字符
01-17 2199
过滤sql特殊字符方法集合 1. ///      /// 过滤不安全的字符串     ///      ///      ///      public static string FilteSQLStr(string Str)     {         Str = Str.Replace("'", "");         Str = Str.Replace(
过滤特殊、不合法字符 防止sql注入
可控的事情要谨慎,不可控的事情要乐观。
04-16 2495
1.工具类 public class StringFilterUtil { // 过滤特殊字符 public static String StringFilter(String str){ String regEx="[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:...
php中防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 836
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
SQL注入不完全思路与防注入程序
weixin_30892987的博客
07-25 217
<一>SQL注入简介   许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。   <二>SQL注入思路   思路最重要。其实好多人都不知道SQL到底能做什么呢?这里总结...
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 571
sql注入问题
特殊字符过滤方法,防sql防注入代码的过滤方法
ak47147258369的博客
06-21 848
特殊字符过滤方法 function strFilter($str){ //特殊字符过滤方法 $str = str_replace('`', '', $str); $str = str_replace('·', '', $str); $str = str_replace('~', '', $str); $str...
SQL注入攻击,特殊字符与特殊关键字过滤
weixin_30711917的博客
07-25 550
说到SQL注入攻击,我想大家都并不陌生,甚至深爱其害.那怎么才避免遭受攻击,减少伤害呢.在此我提出几点建议:一.尽量使用参数形式,少用拼凑型SQL语句.这不但安全,还增加代码可读性,何乐不为呢! SqlParameter[]parms=newSqlParameter[]{newSqlParameter(PARM_EMAIL,SqlDbType...
html 特殊字符过滤,jquery过滤特殊字符',防sql注入的实现方法
weixin_39641236的博客
06-09 363
今天写的代码给项目经理看了下,因为之前没有考虑sql注入的问题,然后在他测试我的code的时候,打了一个“'”,然后我的程序就挂了!于是乎,我在网上找到了一个验证并过滤文本框的jquery!先上图:PS:这里用@#测试,因为'太小了,都看不清楚了!具体的jquery代码:$(document).ready(function() {//返回$("#btnBack").click(function()...
文本入库特殊字符处理, 防止SQL注入
seapeak007的博客
08-17 4776
很多SQL注入都是通过文本特殊字符引入,所以很多入库的文本都需要处理特殊字符转译 1.简单的特殊字符替换成转译的字符 简单的代码如下: public static String escapeSql(String str) { if (str == null) { return null; } str = StringUtils.replace(st
SQL注入---字符绕过
zhoutong2323的博客
04-10 3189
当网页源代码中出现如下代码后,常见的注释符号将无效,因此需要通过特殊手段进行绕过 上述代码中无法使用符号(#)或(--+)将后面的sql语句注释,因此需要通过特殊手段将后面多出的单引号闭合演示案例: 二.and 和 or 过滤绕过 过滤源代码 绕过手法 三.空格过滤绕过 过滤代码: 绕过手法: 在不同的环境中能够绕过的URL编码有所不同,因此需要多次尝试。演示案例:未使用URL编码注入前:符号被过滤 使用URL注入编码后 报错注入
过滤特殊字符防御SQL注入漏洞
12-29
为了有效地防御SQL注入攻击,除了采用参数化查询外,对用户输入的数据进行严格的验证和过滤也至关重要。对于特定场景下的字符串处理,可以利用PHP内置函数`htmlspecialchars()`或自定义正则表达式等方式来实现。 ##...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值