php 释放内防_PHP如何防止注入及开发安全

最新推荐文章于 2021-03-26 00:31:08 发布
最新推荐文章于 2021-03-26 00:31:08 发布
阅读量179 收藏 1
点赞数
文章标签: php 释放内防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39938855/article/details/111783906
版权

1、PHP注入的基本原理

程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对

用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据

库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的

SQL Injection,即SQL 注入。 受影响的系统:对输入的参数不进行检查和过滤的系统

SQL注入过程

正常来讲,我们通过地址接收一些必要的参数如:

PHP100.php?id=2  页面中我们会使用   2 写入到SQL 语句中

正常情况: Select * From Table where id=2

如果我们对 SQL语句熟悉,就知道2 我们可以替换成我们需要的 SQL语句

如: and exists (select id from admin)

2、防止注入的几种办法

其实原来就是我们需要过滤一些我们常见的关键字和符合如:

Select,insert ,update, delete,and ,*,等等

例子

function inject_check($sql_str) {

return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);     // 进行过滤

}

或者是通过系统函数间的过滤特殊符号

Addslashes(需要被过滤的内容)

3、PHP其他地方安全设置

1、register_globals = Off   设置为关闭状态

2、SQL语句书写时尽量不要省略小引号和单引号

Select * From Table Where id=2       ( 不规范)

Select * From ·Table· Where ·id·=’2’       ( 规范)

3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤

4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名

5、对于常用方法加以封装,避免直接暴露 SQL语句

浅谈外挂常识和如何防御
行者AI
03-30 7783
本文首发于行者AI 电子游戏自诞生以来,一直遭受着外挂的困扰,给游戏公司造成了不可估量的损害。本文希望通过介绍外挂的相关知识,让对游戏安全感兴趣、有意愿了解游戏安全知识的同学对游戏安全有个基本的认识。 1. 外挂基本概念 1.1 外挂基本定义 未经官方许可的,可以达到游戏作弊效果的游戏工具。使用这种工具,能获得其他诚实玩家无法达到、或者在短期内得到其他诚实玩家必须通过长期运行游戏才能得到的游戏结果。满足上述效果的工具,称之为“外挂”。 1.2 外挂的影响 外挂作弊行为十分恶劣地影响了游戏行业的发展。 首先
计算机考研(知识点碎片)
最新发布
scxe_voz的博客
10-25 753
HTTPS,数据加密HTTP升级版,缺省端口443。IMAP,交互式邮件存取协议,缺省端口143。HTTP,超文本传输协议,缺省端口80。POP3,邮件接收协议,缺省端口110。SMTP,邮件发送协议,缺省端口25。
PHP注入文件
10-13
来自阿里云的PHP安全防护 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
php网站如何防止sql注入
の原為じ簡單
12-13 194
php网站如何防止sql注入? 网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入安全规范,防止自己的网站被sql注入。 如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起: Php注入安全防范通过上面的过程,我们可以了解到php注入...
php防止注入攻击
jackyrongvip的专栏
09-27 723
可以使用addslashes等PHP内置的直接给出函数,方便使用function VerifyInput($input) {         if (!get_magic_quotes_gpc())       {        //magic_quotes_gpc默认是on的,已经会自动转义号等字符了          $input = addslashes($input);   
防止PHP注入
10-14 952
php+mysql注射的防范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval() 将其转换成整数类型,如: $id=intval($id); mysql_query=”select *from e
php注入(一)
qxs101307204的专栏
10-20 373
Php注入式(一)    1.函数:  Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的
【HCIE备考】笔试题库P11-19
逗老师的博客
08-16 2283
目录PART 11PART 12PART 13PART 14PART 15PART 16PART 17PART 18PART 19 PART 11 一、单选题 (本大题共29个小题,总29分) 1/[单选题](1分) 以下关于数字证书说法错误的是哪项? A 数字签名保障数字证书的完整性。 B 数字证书包含公钥信息。 C 当收到的对等体证书在有效期内,但设备自身时间错误且不在证书有效期内,认证失败。 D 两个 PRI 实体即使不在同一 CA 系统中,只要双方能够识别对方 CA,也可以完成身份验证。 正确答案:
【HCIE备考】笔试题库P1-10
逗老师的博客
08-16 4189
目录PART 1PART 2PART 3PART 4PART 5PART 6PART 7PART 8PART 9PART 10 PART 1 一、单选题 (本大题共33个小题,总33分) 1/单选题 跨设备链路聚合实现了数据流的传输和堆叠成员交换机的相互备份,但是由于堆叠设备间堆叠线缆的带宽有限,可以通过以下哪种方式提高转发效率? A 通过堆叠卡连接堆叠设备 B 使能堆叠多主检查功能 C 配置堆叠系统MAC地址切换 D 使能流量本地优先转发 正确答案: D 2/单选题 现有一台交换机运行了RSTP。如果网络
php防止SQL注入的方法
weixin_34100227的博客
12-13 470
此文转载自网络,对内容有作删减。 旨在提供几点思路。原文:http://www.cnblogs.com/jianqingwang/p/6067967.html 什么是SQL注入? SQL注入大部分情况下都是由于并没有对用户提交的数据、URL参数等进行过滤,而恰恰在这些未被过滤的参数或数据中存在了sql执行语句,最终导致数据库的数据被篡改、被导出等风险。 怎样防止? 【一、在服务器端配置】安全,PH...
php代码防注入,简单的php注入代码
weixin_39932762的博客
03-17 550
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB...
php防止注入
weixin_38544803的博客
11-10 310
在function.php中添加一个函数 function injectChk($sql_str) { //防止注入 $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); if ($check) {
php 怎么防注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 2118
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
php注入的方法,PHP防止SQL注入方法
weixin_39603476的博客
03-11 203
PHP防止SQL注入方法2019-08-1294我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:方法一:functioninjCheck($sql_str){$check=preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfi...
php防止注入函数,php注入函数代码
weixin_42322219的博客
03-22 186
php注入函数代码 在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何防注入的呢? php本身自带的一个函数addslaches() 这个函数功能有点弱,不能让人太放心 现在和大家分享一个简单的方法: 新建一个文件保存为checkpostandget.php 然后在php注入函数代码在做php程序的时候,大家都比较重视网站安全这块,那么在php中是如何防注入的呢?php本身...
PHP代码实现防sql注入
dasongbo7290的博客
06-08 219
注入是程序员一个必须要了解的基本安全知道了,下面我来介绍关于php使用pdo时的一些防注入安全知识。 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。 具体可能有点不一样,但大致的步骤如上所示。 在PHP 5.3.6及以前版本中,并不支持在DSN中的charset定义,而应该使用PDO::M...
PHP防止注入开发安全
weixin_30385925的博客
07-25 138
一、 防止注入的几种办法   其实原来就是我们需要过滤一些我们常见的关键字和符合如:   Select,insert,update,delete,and,*,等等   例子: 1  function inject_check($sql_str) {2 3   return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\....
php注入
youngerhao的专栏
10-18 1094
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(/),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问
php防止mysql注入
空白_回忆的博客
01-05 4670
1、PHP预定义字符是:单引号(’)、双引号(”)、反斜杠(\)、NULL 注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值