万能写入sql语句,并且防注入

最新推荐文章于 2025-01-21 15:55:44 发布
转载 最新推荐文章于 2025-01-21 15:55:44 发布 · 212 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/134447

本文介绍了一种利用PDO的prepare方法结合字段过滤机制来有效防止SQL注入攻击的方法。通过实例展示了如何安全地进行数据插入及条件查询操作。
通过perpare()方法和检查字段防sql注入.
$pdo=new PDO('mysql:host=localhost;dbname=scms', 'root' );
$_POST=array('title'=>23,'content'=>'kmm');
$keys= array_keys($_POST);
/**
* $filetarr数组用于规定只可以写入的字段
*/
$filetarr=array('title','content');
$filtre=true;
foreach ($keys as $value){
if(in_array($value, $filetarr,true)){
}else{
//var_dump($value);
$filtre=false;
break;
}
}
if($filtre){
$fields=implode(',', $keys);
$fieldszwh=':'.implode(',:', $keys);
$sql="insert into article({$fields}) values({$fieldszwh})";
$pdostatement= $pdo->prepare($sql);
$pdostatement->execute($_POST);
var_dump($pdostatement->errorInfo());
}else{
echo '非法字段';
}
  2.万能条件语句,同样通过字段限制防注入
$pdo=new PDO('mysql:host=localhost;dbname=scms', 'root' );
$_POST=array('title'=>23,'content'=>'km');
$keys= array_keys($_POST);
/**
* $filetarr数组用于规定只可以写入的字段
*/
$filetarr=array('title','content');
$filtre=true;
$where='';
/**
*$wherearr数组用来根据字段指定查询条件,例如大于,等于,like
*/
$wherearr=array('title'=>'like','content'=>'>%');
foreach ($keys as $value){
if(in_array($value, $filetarr,true)){
if($wherearr[$value]==='between'){
if(count(explode(',', $_POST[$value]))===1){
break;
}
$where.='and '.$value.' between '.":{$value}left".' and '.":{$value}right ";
$_POST[$value]=explode(',', $_POST[$value]);
$_POST[$value.'left']=$_POST[$value][0];
$_POST[$value.'right']=$_POST[$value][1];
unset($_POST[$value]);
}else{
$where.='and '.$value.' '.$wherearr[$value].' '.":{$value} ";
}
}else{
//var_dump($value);
$filtre=false;
break;
}
}
/**
*
*如果用or连接条件语句,截取前面两个字符
*/
$where=substr($where,3);
if($filtre){
$fields=implode(',', $keys);
$fieldszwh=':'.implode(',:', $keys);
$sql="select  * from article where {$where}";
var_dump($sql);
$pdostatement= $pdo->prepare($sql);
$pdostatement->execute($_POST);
$re=     $pdostatement->fetchAll();
var_dump($pdostatement->errorInfo());
var_dump($_POST);
var_dump($re);
}else{
echo '非法字段';
}


最新内容请见作者的GitHub页:http://qaseven.github.io/
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
sql注入靶场通关
xiaoyang0475的博客
07-03 1457
打开小皮,并打开Apache2.4.39 和 MySQL5.7.26打开网站创建网络 域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径,进行创建。打开创建好的网站打开网站就可以进行sqli-labs靶场通关啦接下来让我们开始进行打靶吧!输入正常数据查看回显通过判断是否存在注入点和注入类型来进行打靶判断注入点?id=1查看是否存在注入点确定存在注入点将后面进行注释查看页面回显页面回显正常判断注入方式为字符型注入。
SQL万能语句
12-18
结构化查询语言(Structured Query Language)简称SQL,结构化查询语言是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;同时也是数据库脚本文件的扩展名。结构化查询语言是高级的非过程化编程语言,允许用户在高层数据结构上工作。
常用Sql注入语句.
03-30
NULL 博文链接:https://cn-wangwei.iteye.com/blog/1327507
SQL万能语句-经典操作
06-08 691
一、基础 1、说明:创建数据库CREATE DATABASE database-name2、说明:删除数据库drop database dbname3、说明:备份sql server--- 创建 备份数据的 deviceUSE masterEXEC sp_addumpdevice 'disk', 'testBack', 'c:\mssql7backup\MyNwind_1.dat'-...
sql注入的万能语句
2301_80143258的博客
08-17 658
当我们输入正确的用户名与密码就可以登陆进去,但是这个验证机制也可以通过SQL语句来构造特殊的字符串来通过验证。name就是输入的用户名,pwd 就是输入的密码(“$”表示变量,存储)”where“表示条件,为真则执行,验证成功,为假则不执行,验证失败。"or"是或的意思,根据离散数学的逻辑判断规则,可知一真一假为真,输入用户名:“username"输入密码:”password"再例如:1’or 1=1 #查询出表中所有的字段。
SQL通用防注入程序
07-31 171
SQL通用防注入程序 v3.1 最终纪念版 http://js.down.chinaz.com/Z2006O999/ÆäËüÀà±ð/FySqlX3.1.rar 用这个吧``里面有使用说明``很简单的`` neeao.txt文件里有说明,使用方法很简单,, 只要在需要防注入的页面头部用 <!--#Include File="Neeao_SqlIn.Asp"-...
计算机病毒与防护:SQL注入原理.ppt
06-10
当用户输入的数据被直接用于构建SQL查询语句时,如果没有适当的防御机制,攻击者可以通过精心设计的输入来改变原始SQL语句的含义。例如,一个简单的登录界面可能使用如下代码来验证用户名和密码: ```sql SELECT * ...
SQL注入实战:二阶注入
ting_liang的博客
01-26 1402
2、二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式:相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。4、网站对我们输入的一些重要的关键字进行了转义,但是这些我们构造的语句已经写进了数据库,可以在没有被转义的地方使用。如果修改的username是admin‘-- -那么实际上我们修改的是admin的password。也就是说我们注册了一个admin’-- -这样的一个用户,但修改可以修改admin的密码。admin‘-- -的密码还是123456。
SQL 注入漏洞原理以及修复方法
最新发布
web14786210723的博客
01-21 831
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。使用参数化SQL语句,同时也能提高查询的效率。
sql通用防注入源码
07-07
sql通用防注入,下载后做简单修改就可以使用。
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
sql万能注入语句
chidi2647的博客
01-23 1100
1.针对有单引号的情况 : 万能密码 : select * from users where username='xxxx' and password='xxxxxx' or 1='1'; 万能用户名 : select * from users where username='xxxx' un...
.net sql防注入代码
weixin_34122604的博客
07-01 141
网站不小心中招了,在网上整理了一个简单的防注入方法,和大家分享 web.config文件调用 <httpHandlers> <add verb="*" path="*.aspx" validate="false" type="SqlIn.SqlInPost"/> </httpHandlers></syste...
万能SQL语句?
HeiMeiHXN的专栏
09-15 4818
 在前天的课上,听了这么一个词:万能查询.刚开始还不知道怎么一回事,知道老师把几个毫无头绪,以为要写很多个方法的程序实现的时候,我真是傻眼了...唉,总结一下,以后这一点真的很重要呢...包括全局统筹包括代码的清晰健壮,是我见过的最好的解决方法了...这样,我对于 SQL 语句的理解更进了一步..更觉得 SQL 语句的拼接真是一件很神奇的事情!.... 以下是一个 dao 中其中一个方法,
sql注入语句万能密码_精华 | SQL注入万能Bypass技巧
weixin_39910481的博客
11-26 506
前言很多同学问注入bypass的一些细节,刚好前几天晚上做了一个梦,梦里进行了一些测试,今天觉得应该记录一下。本文纯属虚构,如有雷同纯属放屁。正文梦里发现了一处mssql报错注入然后发现有云锁云锁.jpg(假装有图)用自己写的的脚本生成垃圾数据#coding=utf-8import random,stringfrom urllib import parse# code by yzddMr...
sql防注入代码
weixin_30539835的博客
08-27 132
function defend_sql($string, $force = 1) { $preg = "select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile"; if(!get_magic_quotes_gpc() || $force) { ...
sql注入语句万能密码_sql注入——万能密码
weixin_40001025的博客
12-06 6111
通过两个ctf题来做讲解,第一个很简单,第二个多了些限制http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.phphttp://ctf5.shiyanbar.com/web/wonderkun/web/index.html 万能密码原理万能密码漏洞都是因为提交字符未加过滤或过滤不严而导致的。$sql =...
sql通用防注入代码
rztyfx的专栏
11-20 1676
dim SQL_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
掌握SQL注入防御技巧,提升数据库安全性
为了防止SQL注入式攻击,开发人员和系统管理员需要了解相关的知识点,并且采取一系列的防御措施。 首先,我们需要了解SQL注入攻击的原理和攻击手法。攻击者通常会寻找Web应用程序中存在的SQL代码输入点,比如登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值