PHP sql注入漏洞修复(字符串型)

最新推荐文章于 2024-09-28 09:17:04 发布
最新推荐文章于 2024-09-28 09:17:04 发布
阅读量63 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php
原文链接:http://www.cnblogs.com/xiaoCon/p/3155463.html
本文介绍了一种使用PHP addslashes函数来防止SQL注入攻击的方法,并通过一个示例代码展示了如何在查询中安全地使用用户输入。

上一篇说了数字型的的SQL注入修复,这篇继续加个字符串型的修复方法吧。其实就是一个函数。

虽然没在真实场景遇到过,但是我觉得应该有效。

<?php

$username=addslashes($_GET['username']);
//echo $user_id;

if(isset($user_id)){
   $result=mysql_query("select * from web_sec where username='$username'");
   while($row=mysql_fetch_object($result)){
       echo $row->['user_id'];
       echo $row->['target_name'];
       echo $row->['domain'];
       echo $row->['bug_number'];
   }   
}

?>

 

转载于:https://www.cnblogs.com/xiaoCon/p/3155463.html

SQL 注入漏洞原理以及修复方法_sql注入漏洞
2401_84969310的博客
05-13 1885
注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。(2)Admin’ - -(或‘ or 1=1 or ‘ - -)(admin or 1=1 --) (MS SQL)(直接输入用户名,不进行密码验证)(3)用户名输入:admin 密码输入:’ or ‘1’=’1 也可以。
SQL 注入漏洞原理以及修复方法
最新发布
web14786210723的博客
01-21 831
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。使用参数化SQL语句,同时也能提高查询的效率。
phpsql注入漏洞示例 sql注入漏洞修复
10-26
主要介绍了phpsql注入漏洞示例,大家在开发中一定要注意
php网站sql注入修复方案,php 网站sql注入漏洞解决方案
weixin_35632257的博客
03-17 623
分享到:------解决方案--------------------你直接看下修复方案。------解决方案--------------------Fatal error: Call to undefined method NodeNav::GetCounter() in E:\www\ECMS\Template_c\[emailprotected][emailprotected]@list_...
PHP程序提示sql注入漏洞的处理方法
wwwwestcn的博客
04-23 739
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!添加require_once('360_safe3.php');1.解压后将360_safe3.php传到要包含的文件的目录。a).在所需要防护的页面加入代码。就可以做到页面防注入、跨站。常用php系统添加文件。
SQL注入系列之PHP+Mysql手动注入()----字符型
fendo
02-25 7195
一、什么是字符型注入以及原理 1)字符型注入简介 字符串或串(String)是由数字、字母、下划线组成的一串字符。一般记为 s=“a1 a2 ···an ” (n>=0)。它是编程语言中表示文本的数据类型。 字符型注入就是把输入的参数当做字符串来对数据库进行查询,字符型注入sql语句中都采用单引号括起来。 2)基本原理: 看看这条SQL
PHPCMS2008广告模板SQL注入漏洞修复
12-19
1. **SQL注入漏洞概述**: SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意构造的SQL代码,欺骗系统执行非预期的数据库操作。在这种情况下,PHPCMS2008广告模块在处理广告展示时,未对用户可控的referer字段...
Discuz7.2版的faq.php SQL注入漏洞分析
10-25
本文将分析Discuz7.2版中faq.php页面存在的SQL注入漏洞,以便开发者了解如何防范此类攻击。 首先,要了解SQL注入漏洞的形成条件,通常是由于Web应用对用户输入的数据处理不当导致的。在本例中,漏洞出现在处理gids...
浅析php过滤html字符串,防止SQL注入的方法
12-18
批量过滤post,get敏感数据复制代码 代码如下:$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST);数据过滤函数复制代码 代码如下:function stripslashes_array(&$array) { while(list($key,$var) = each($array)) {  if ($key != ‘argc’ && $key != ‘argv’ && (strtoupper($key) != $key || ”.intval($key) == “$key”)) {   if (is_s
php对字符串进行SQL注入过滤
qq_30908729的博客
11-25 1192
php对字符串进行SQL注入过滤   解决方法: 使用str_ireplace方法来实现:http://w​ww.yayihouse.com/yayishuwu/chapter/1711
php mysql 字符串_SQL注入PHP-MySQL实现手工注入-字符型
weixin_42205405的博客
01-18 449
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递...
PHP 中的SQL注入
干脆利索
01-30 227
magic_quotes_gpc=Off的情况 1.字符串的注入 select: 正常select * from user where username='admin' and password='12$%&amp;*' 利用#作为mysql中的注释:提交username的注入 admin'# 语句变为select * from user where username='admin'#' ...
php sql注入 字符,如何清理字符串以避免SQL注入和最常见的攻击类型? (PHP)...
weixin_33900916的博客
03-18 114
有没有办法以尽可能少的代码为SQL注入和最常见的攻击形式过滤字符串?在我的脚本中我使用以下内容,我想知道它是否相当安全以及是否有其他人有建议:$cleanName = htmlspecialchars(addslashes($dirtyName));看看我如何过滤html字符以及引号和双引号.注意:我使用的是addslashes()而不是mysql_real_escape_string(),...
浅谈“SQL注入
→_→
05-08 590
漏洞名称: SQL注入SQL盲注 描述: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。...
mysql手动注入_SQL注入系列之PHP+Mysql手动注入()----字符型
weixin_34650199的博客
01-19 320
一、什么是字符型注入以及原理1)字符型注入简介字符串或串(String)是由数字、字母、下划线组成的一串字符。一般记为 s=“a1 a2 ···an ” (n>=0)。它是编程语言中表示文本的数据类型。字符型注入就是把输入的参数当做字符串来对数据库进行查询,字符型注入sql语句中都采用单引号括起来。2)基本原理:看看这条SQL语句$query="selectfirst_namefrom...
php如何实现sql注入
weixin_42577243的博客
01-18 477
SQL注入是通过构造恶意的SQL语句,利用程序中的漏洞,直接在数据库中执行。在 PHP 中,可以使用 PDO 或 mysqli 来预处理 SQL 语句来防止 SQL 注入。这样可以避免在查询中直接插入用户输入的数据。 如果使用 PDO ,可以使用 prepare() 和 execute() 方法来预处理 SQL 语句,并将参数绑定到语句中。 如果使用 mysqli ,可以使用 prepare() ...
SQL注入漏洞从发现到修复
2401_84578953的博客
09-28 1142
一、环境准备1、在Linux主机上准备一套Xampp:模拟攻防2、在VSCode利用Remote Development进行远程调试3、在Lampp的htdos目录下创建security目录,用于编写服务器PHP代码二、编写Login.html三、编写Login.php四、编写一个登录后才能访问的welcome.php五、进行登录的渗透测试以上响应出现MySQL报错信息,上述报错信息存在两个漏洞:1、单引号可以成功引起SQL语句报错,说明后台没有专门对单引号进行处理。
PHP168 SQL注入漏洞分析与利用
"php168sql注入漏洞描述了一个特定版本的php168存在SQL注入安全问题,允许攻击者通过这个漏洞获取数据库的相关信息。这个问题通常发生在应用未能正确过滤或验证用户输入的情况下,使得恶意用户可以构造特殊的SQL查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值