最全防止sql注入方法

最新推荐文章于 2025-06-04 17:48:43 发布
转载 最新推荐文章于 2025-06-04 17:48:43 发布 · 638 阅读 · 0
文章标签:

#mysql #sql注入 #sql #php

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 
 
使用方法如下:
 
?
1
2
3
$sql = "select count (*) as ctr from users where username
= '".mysql_real_escape_string($username)."' and
password= '". mysql_real_escape_string($pw)."' limit 1";

 

 
 
 
使用 
mysql_real_escape_string()
 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。
 
(2) 打开magic_quotes_gpc来防止SQL注入
 
php.ini中有一个设置:magic_quotes_gpc = Off
  这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
  比如把 ' 转为 \'等,对于防止sql注射有重大作用。
 
     如果magic_quotes_gpc=Off,则使用addslashes()函数
 
(3)自定义函数
 
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
function inject_check( $sql_str ) {
     return eregi ( 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile' , $sql_str );
}
 
function verify_id( $id =null) {
     if (! $id ) {
         exit ( '没有提交参数!' );
     } elseif (inject_check( $id )) {
         exit ( '提交的参数非法!' );
     } elseif (! is_numeric ( $id )) {
         exit ( '提交的参数非法!' );
     }
     $id = intval ( $id );
      
     return $id ;
}
 
 
function str_check( $str ) {
     if (!get_magic_quotes_gpc()) {
         $str = addslashes ( $str ); // 进行过滤
     }
     $str = str_replace ( "_" , "\_" , $str );
     $str = str_replace ( "%" , "\%" , $str );
      
    return $str ;
}
 
 
function post_check( $post ) {
     if (!get_magic_quotes_gpc()) {
         $post = addslashes ( $post );
     }
     $post = str_replace ( "_" , "\_" , $post );
     $post = str_replace ( "%" , "\%" , $post );
     $post = nl2br ( $post );
     $post = htmlspecialchars( $post );
      
     return $post ;
}
PHP函数防止SQL注入攻击
YxmtAi的博客
10-06 752
通过使用这些PHP函数和技术,我们可以有效地防止SQL注入攻击,并保护我们的应用程序免受恶意用户的攻击。但是,我们还应该采取其他安全措施,如限制数据库用户的权限、进行输入验证和输出编码,以提高应用程序的安全性。在开发PHP应用程序时,防止SQL注入攻击是至关重要的。SQL注入是一种常见的安全漏洞,攻击者可以利用该漏洞执行恶意SQL查询,从而获取、修改或删除数据库中的数据。mysqli_real_escape_string函数用于在字符串中转义特殊字符,以防止它们被错误地解释为SQL语句的一部分。
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
php防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 836
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
【2025版】最新什么是 SQL 注入以及如何防止 SQL 注入?(非常详细)从零基础入门到精通,收藏这篇就够了
最新发布
leah126的博客
06-04 1377
为了防止 SQL 注入攻击,开发人员应实施适当的输入验证和过滤技术,使用参数化查询或预准备语句,并使用 Web 应用程序防火墙和入侵检测系统来检测和阻止恶意 SQL 注入尝试。SQL 注入是一种针对 Web 应用程序和数据库中的安全漏洞的网络攻击。我们了解到,SQL注入是将恶意代码注入数据库查询的行为,这可能导致数据被盗,网站篡改,甚至完全系统泄露。攻击者可以在用户名字段中输入类似 ’ OR ‘1’='1 的内容,导致 SQL 查询为所有用户返回 true,并允许攻击者在没有有效密码的情况下登录。
PHP注入的最简单函数
weixin_33898233的博客
05-29 146
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=>$value) {$content[$key...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6847
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
php注入函数
若水印象博客
03-05 1410
1、 PHP注入的基本原理 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统 //防注入 functi
mybatis防止SQL注入方法实例详解
08-27
MyBatis 防止 SQL 注入方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入方法实例详解...
ASP.NET防止SQL注入方法示例
01-20
为了防止SQL注入,一种常见的方法是使用参数化查询或存储过程,但这在某些情况下可能需要大量修改现有代码。在这种情况下,可以采用其他防御措施,如在每个请求开始时检查输入的有效性。 1. **创建Global.asax文件*...
Python中防止sql注入方法详解
09-21
### Python中防止SQL注入方法详解 #### 前言 SQL注入是一种常见的网络安全攻击手段,攻击者通过在输入数据中嵌入恶意SQL代码,利用应用程序的漏洞执行非法操作,如篡改、删除或检索敏感数据等。对于使用Python...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
PHP注入函数(格式化数据)
01-20
复制代码 代码如下: <? //格式化数据(防止注入) function site_addslashes($string, $force = 0) { !defined(‘MAGIC_QUOTES_GPC’) && define(‘MAGIC_QUOTES_GPC’, get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = daddslashes($val, $force); } }
SQL注入php代码
08-24
SQL注入php,通用防注入
php防止注入函数,php注入函数代码
weixin_42322219的博客
03-22 188
php注入函数代码 在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何防注入的呢? php本身自带的一个函数addslaches() 这个函数功能有点弱,不能让人太放心 现在和大家分享一个简单的方法: 新建一个文件保存为checkpostandget.php 然后在php注入函数代码在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何防注入的呢?php本身...
php防止注入工具的函数,PHP的一些防注入函数
weixin_34207865的博客
03-10 366
PHP的一些防注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
PHP-浏览器参数防注入检测函数
蚂蚁学Python
02-22 279
对浏览器的URL的字段进行过滤,防止进行SQL注入 function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_st...
php 禁止用注入函数,PHP注入函数代码总结_PHP教程
weixin_35662493的博客
03-21 487
/*函数名称:post_check()函数作用:对提交的编辑内容进行处理参  数:$post: 要提交的内容返 回 值:$post: 返回过滤后的内容*/function post_check($post) {if (! get_magic_quotes_gpc ()) { // 判断magic_quotes_gpc是否为打开$post = addslashes ( $post ); // 进行m...
SQL注入函数
weixin_34292924的博客
01-11 255
using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;usin...
防止SQL注入:.NET编程最佳实践
"本文介绍了.NET防止SQL注入方法,包括使用参数化查询、字符串过滤以及执行SQL命令时的安全注意事项。" 在.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL代码来操控数据库。为了保护应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值