PHP如何防止SQL注入式攻击

最新推荐文章于 2024-08-24 09:58:50 发布
最新推荐文章于 2024-08-24 09:58:50 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: PHP 文章标签: php sql string 数据库 程序开发 function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ctowoo/article/details/4643489
版权

      由于程序开发人员对程序中的一些数据类型没有经过检查、向 MYSQL 提交正确的数据类型以及特殊数据的转义,导致程序容易受SQL注入式攻击。就此,PHP对此已提供了安全的设置及内置函数来防止此问题的发生。以下就个人在开发应用中写点........

1、magic_quotes_runtime 设置
当它打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。如果设定了 magic_quotes_runtime为 on 那么提交的数值就会自动将 ' 变成 /' 。为了使自己的程序不管服务器是什么设置都能正常执行,在开始(或不需要自动转义的时候)用set_magic_quotes_runtime(0)关掉。当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时就要用 set_magic_quotes_runtime()与 get_magic_quotes_runtime()设置和检测php.ini文件中magic_quotes_runtime状态。

2、magic_quotes_gpc 设置
magic_quotes_gpc 设置是否自动为GPC(get,post,cookie)传来的数据中的' " / 加上反斜线。可以用 get_magic_quotes_gpc()检测系统设置。如果没有打开这项设置,可以使用addslashes()函数添加,它的功能就是给数据库查 询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(/)与 NUL(NULL 字符)。即 ' 变成 /', "变成 /"。

3、一些常用的内置函数(addslashes , stripslashes ,htmlspecialchars,trim......)

define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
function strAddslashes($string, $force = 0, $strip = FALSE) {
    if(!MAGIC_QUOTES_GPC || $force) {
        if(is_array($string)) {
            foreach($string as $key => $val) {
                $string[$key] = strAddslashes($val, $force);
            }
        } else {
            $string = addslashes($strip ? stripslashes($string) : $string);
            //stripslashes -- 去掉反斜线字符
        }
    }
    return $string;
}

PHP如何防止SQL注入攻击
破损的天堂鸟博客
07-19 1235
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地防止SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
SQL注入攻击讲解及PHP防止SQL注入攻击的几种方法
wuxiaopengnihao1的博客
08-25 1425
本文章向大家介绍什么是SQL注入攻击,以及在php网站开发中,如何防止SQL注入攻击PHP防止SQL注入攻击有三种常用方法,第一种方法是使用PHP转义字符串mysql_real_escape_string()函数,第二种方法是使用mysqli的prepare语句,第三种方法是使用PDO。
SQL注入的php代码
08-24
SQL注入的php,通用防注入类
PHP防止数据库字符串登录SQL注入攻击
weixin_34161064的博客
12-07 150
<?php header("Content-Type:text/html;charset=UTF-8"); // 数据库配置 include_once 'config.php'; // 获得传递参数 $user_name=isset($_request['user_name'])?$_request['user_name']:''; $user_p...
PHP中全面阻止SQL注入式攻击之二
powerbuddhist的专栏
04-01 859
一、 注入式攻击的类型  可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。  如果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示):
PHP+MYSQL防范SQL注入
01-11 1131
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
PHP中全面阻止SQL注入式攻击分析小结
10-28
4. 转义所有用户输入:在将用户输入用于SQL查询之前,使用PHP的转义函数,如mysql_real_escape_string()(尽管此函数与废弃的mysql扩展相关联,现在推荐使用mysqli或PDO),可以防止大部分SQL注入攻击。 5. 限制...
SQL 注入式攻击的本质
09-11
SQL注入式攻击是一种常见的网络安全威胁,它发生在Web应用程序中,尤其是那些处理用户输入数据的系统。这种攻击方式的根源在于程序员在编写代码时没有正确地过滤、验证或转义用户提供的输入,导致恶意用户可以插入...
PHP防止SQL注入实现代码
10-28
2. **注入式攻击的类型**: - **选择性注入**:攻击者通过添加像“1=1”这样的条件来显示所有记录。 - **更新注入**:攻击者可以修改记录的特定字段,例如在UPDATE语句中添加额外的SET子句。 - **删除注入**:...
php sql注入 如何防止,PHP中如何防止SQL注入攻击
weixin_42300879的博客
03-10 119
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");因为用户可以输入:value'); DROP TABLE table;...
php中如何防止sql注入
weixin_43586849的博客
12-06 388
1.什么时候最易受到SQL注入攻击 当应用程序使用输入内容来构造动态SQL语句,以访问数据库时会发生SQL注入攻击 2.如何防止SQL注入 a.永远不要相信用户的输入,对用户输入进行校验,可以通过正则表达式,或限制长度,对单引号和“_”进行转换 不建议使用: //$user = htmlspecialchars(addslashes($user)); //$pwd = htmlsp...
php防止sql注入攻击的方法
yyyfff43的专栏
07-07 623
function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 if($check){ echo "输入非法注入内容!";
PHP 安全:如何防止PHP中的SQL注入?_php 防止sql注入
最新发布
baimao__Ch的博客
08-24 1187
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
PHP面试题11】PHP如何防止SQL注入
GitHub质检员
09-14 290
SQL注入攻击是一种常见的Web安全漏洞,可以采用多种方法来防止SQL注入攻击。使用PHP的预处理语句和绑定变量可以有效地避免这种攻击。预防SQL注入攻击的最佳实践包括验证用户输入数据、禁止拼接字符串、使用filter_input()函数等。
PHP 安全:如何防止PHP中的SQL注入?
新华编程特战队
04-23 3158
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
php网站防止sql注入攻击方法
qq_780662763的博客
03-05 470
网站安全防护—该如何防止SQL注入攻击? 移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑, 随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击, 网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员 数据被盗走,这无意是给网站带来了严重的影响与经济损失。 像之前的高考网站被黑,高考完的学生们去查高...
如何在 PHP 应用程序中预防SQL 注入
allway2的博客
07-22 490
因此,PHP会向数据库发送简单的查询字符串,即使您的代码看起来像是在创建准备好的语句和设置参数等等。功能,而如果您使用的是MVC框架,它会为您完成所有繁琐的工作,您甚至不必考虑防止SQL注入。在WordPress中您必须明确地准备语句,这有点烦人,但是,嘿,我们正在谈论的是WordPress。值得庆幸的是,它非常简单,有两种方法可以做到1)清理用户输入,2)使用准备好的语句。无论如何,我的观点是,现代网络开发人员不必考虑SQL注入,因此,他们甚至没有意识到这种可能性。...
php 如何防范sql注入攻击,php防范SQL注入攻击与XSS攻击的方法详解
weixin_34312149的博客
03-09 457
本节内容:php防范SQL注入攻击与XSS攻击1,SQL注入攻击XSS攻击任意执行代码文件包含以及CSRF.}例子:复制代码 代码示例:mysql_connect("localhost","root","123456")or die("数据库连接失败!");mysql_select_db("test1");$user=$_post['uid'];$pwd=$_POST['pass'];if(mys...
PHP中怎样避免SQL注入漏洞和XSS跨站脚本攻击漏洞
weixin_41380972的博客
12-29 2097
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。 防止SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值