如何预防sql注入

 

1.数字类型判断

select * form user where id=-1 or 1=1;

需要校验 id 为整型 if(empty($_GET['id']||!is_number($_GET['id'])){ exit()}

 

2.用户名输入 限定单引号 双引号输入 可以用正则表达式来

 

3.特殊字符转义

addslashes转义 单引号 双引号 /

addslashes($user_name) 

mysqli_real_escape_string($db,$user_name)

$db为数据库实例

$user_name传过来的数据

 

SQL注入是一种常见的Web安全漏洞,攻击者可以利用这种漏洞来获取、修改或者删除数据库中的敏感信息。以下是一些常见的预防SQL注入的方法: 1. 使用ORM框架: ORM框架可以自动转义SQL查询中的特殊字符,从而避免SQL注入攻击。例如,使用Django ORM框架查询数据可以保护代码免受SQL注入攻击。 ``` from django.db import models class User(models.Model): username = models.CharField(max_length=50) password = models.CharField(max_length=50) User.objects.filter(username='admin', password='123456') ``` 2. 使用参数化查询: 参数化查询可以将SQL查询语句和参数分开,从而避免恶意用户注入SQL代码。例如,使用Python标准库中的sqlite3模块执行参数化查询: ``` import sqlite3 conn = sqlite3.connect('example.db') cursor = conn.cursor() cursor.execute('SELECT * FROM users WHERE username = ? AND password = ?', ('admin', '123456')) ``` 3. 过滤输入: 可以过滤用户输入的特殊字符,从而避免SQL注入攻击。例如,可以使用Python标准库中的re模块过滤输入的特殊字符: ``` import re def filter_input(input_str): pattern = re.compile(r'[\'";]') return pattern.sub('', input_str) username = filter_input(request.GET['username']) password = filter_input(request.GET['password']) cursor.execute('SELECT * FROM users WHERE username = "%s" AND password = "%s"' % (username, password)) ``` 总之,预防SQL注入攻击是Web开发中非常重要的一项工作,开发者应该注意编写安全的代码,避免恶意用户利用SQL注入漏洞攻击网站。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝麻开门2015

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值