PHP+Mysql防止SQL注入原理和防御

最新推荐文章于 2025-04-15 09:02:58 发布
最新推荐文章于 2025-04-15 09:02:58 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 技术分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuxiaopang0417/article/details/88737685
版权
博客介绍了PHP中防止SQL注入的防御方法。一是使用mysql_real_escape_string转义SQL语句字符串中的特殊字符;二是打开magic_quotes_gpc,其开启后会自动转换用户提交的SQL查询;三是可采用自定义函数来进行防御。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sql注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

防御方法一

mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !

$sql = "select count(*) as ctr from users where username

='".mysql_real_escape_string($username)."' and

password='". mysql_real_escape_string($pw)."' limit 1";

方法二:

打开magic_quotes_gpc来防止SQL注入。php.ini中有一个设置:magic_quotes_gpc =
Off这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把 ’ 转为 '等,对于防止sql注射有重大作用。

如果magic_quotes_gpc=Off,则使用addslashes()函数。

方法三:

自定义函数

function check_param($value=null) { 
 #select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile
$str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
if(!$value) {
        exit('没有参数!'); 
    }elseif(eregi($str, $value)) { 
        exit('参数非法!');
    } return true; 

} 




function str_check( $value ) {
   if(!get_magic_quotes_gpc()) { 
   // 进行过滤 
   $value = addslashes($value); 
   } 
   $value = str_replace("_", "\_", $value); 
  $value = str_replace("%", "\%", $value); 
   return $value; 

} 









function post_check($value) { 
        if(!get_magic_quotes_gpc()) {
    
  // 进行过滤  
            $value = addslashes($value);
        } 
        $value = str_replace("_", "\_", $value); 
        $value = str_replace("%", "\%", $value); 
        $value = nl2br($value); 
        $value = htmlspecialchars($value); 
        return $value; 
    }
php防止SQL注入详解及防范
10-26
SQL 注入PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞
PHP+MysqlSQL注入源码 下载
02-11
这个主题"PHP+MysqlSQL注入源码 下载"涉及到一个具有潜在安全问题的源代码示例,它包含了SQL注入漏洞。下面我们将深入探讨这个话题。 首先,让我们了解SQL注入是什么。SQL注入是一种常见的网络攻击方式,攻击者...
PHP SQL 注入攻击的技术实现以及预防办法
shrimpma的专栏
04-28 448
 最近在折腾 PHP + MYSQL 的编程。了解了一些 PHP SQL 注入攻击的知识,于是写了这篇文章 http://www.xiaohui.com/weekly/20070314.htm,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因:  1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 o
PHP中如何防止SQL注入XSS攻击?
最新发布
破损的天堂鸟博客
04-15 1247
PHP开发中,防止SQL注入XSS攻击是保障应用安全的核心任务。通过上述多层防御机制、框架整合持续维护,可构建符合OWASP Top 10标准的PHP安全应用。在数据库中预定义逻辑,限制动态SQL生成。但需注意:仍需结合参数化调用,否则仍存在注入风险。(Never Trust User Input),将安全实践融入开发全生命周期。通过PDO或mysqli扩展实现参数化查询,分离SQL逻辑数据。原理:数据库将SQL模板参数分别解析,参数始终视为数据而非可执行代码。✘ 手动正则过滤(易遗漏边缘情况)
PHP+MYSQL防范SQL注入
01-11 1138
好久没动PHP了,最近却要给朋友写个电子商务 我就比较关心安全问题 于是到网上查了查 这篇安全天使的文章十分不错 对于初级注入已经可以防范了http://www.4ngel.net/article/36.htm  
php操作mysql防止sql注入
chuaiyuan6611的博客
06-02 414
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqlipdo的预处理的区别,提供最好的防注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
php防止SQL注入的方法[转载]
zhonglijunyi的专栏
01-21 541
php防止SQL注入的方法 原文地址:http://daybook.diandian.com/post/2011-09-16/5079753 【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置ph
PHP+Mysql实现SQL注入漏洞源码下载指南
对于开发人员来说,了解SQL注入攻击的原理防御措施至关重要,以确保构建的PHP+MySQL应用能够抵御这类攻击,保护系统的安全。 根据提供的【压缩包子文件的文件名称列表】中的文件名"7247f7ad1a9b4634ae84e67865f4...
PHP+Mysql环境SQL注入代码一键部署指南
对于SQL注入攻击,应了解其工作原理防御方法,避免编写容易被攻击的代码。 根据上述知识点,我们可以得出结论,虽然标题中提到的“带SQL注入源码”的PHP+Mysql程序可以下载并部署,但出于安全考虑,开发者应充分...
php注入
weixin_30402343的博客
06-14 231
引发 SQL 注入攻击的主要原因,是因为以下两点原因:   1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off   2. 开发者没有对数据类型进行检查转义   不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的...
php mysql防止sql注入_php mysql防止sql注入详细说明
weixin_33340674的博客
01-19 196
要防sql注入我必须从sql语句到php get post 等数据接受处理上来做文章了,下面我们主要讲php mysqlsql语句上处理方法,可能忽略的问题.看这个例子,代码如下://supposedinput$name=“ilia’;deletefromusers;”;mysql_query(“select*fromuserswherename=’{$name}’”);很明...
php SQL注入的一些经验
wang_quan_li的专栏
06-03 568
产生原因 一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如: $id = $_GET['id']; $sql = "SELECT name FROM users WHERE id = $id"; 因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。
php防止sql注入
weixin_30262255的博客
04-28 507
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshellSQL Injection的攻击,一下我们慢慢探讨。我...
phpmysqli防注入攻略
我点评的博客
08-01 431
为了防止SQL注入攻击,我们可以使用mysqli类中的prepare语句、mysqli_real_escape_string函数以及正确的数据类型等方法。在使用mysqli_real_escape_string函数时,我们需要将需要转义的字符串作为第一个参数传入函数中。mysqli是PHPMySQL交互的扩展,它提供了一种有效的防止SQL注入攻击的方法。mysqli_real_escape_string函数是mysqli扩展中一个非常重要的函数,它可以将特殊字符转义,从而避免SQL注入攻击。
php+MySQL防止sql注入
php-yyds
11-12 659
通过将用户的输入参数SQL语句分离,确保参数以安全的方式传递给数据库引擎,避免拼接SQL语句时可能引发的注入问题。:在拼接SQL语句时,应该使用参数化查询的方法,将需要插入到SQL语句中的数据作为参数传递。具体来说,可以使用绑定参数的方式,将数据SQL语句分离,确保数据在传递到数据库时被正确地转义处理。预处理语句通过绑定参数的方式将数据SQL语句分离,确保数据在传递到数据库时被正确地转义处理,有效地防止SQL注入攻击。)来对字符串进行转义处理,或者使用PDO的预处理语句中的绑定参数功能。
初探PHPSQL注入攻击的技术实现以及预防措施
NiceGY
01-12 8013
SQL攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。 有部份人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。
php mysqlsql注入_phpsql注入方法
weixin_29605607的博客
02-28 345
phpsql注入的方法:1、使用mysql_real_escape_string方法转义SQL语句中使用的字符串中的特殊字符;2、打开magic_quotes_gpc来防止SQL注入;3、通过自定义函数防sql注入PHP+Mysql防止SQL注入的方法这篇文章介绍的内容是关于PHP+Mysql防止SQL注入的方法:方法一:mysql_real_escape_string -- 转义 SQL 语...
php操作mysql防止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqlipdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
PHP预防SQL注入
lvfl的博客
08-31 388
PHP预防SQL注入的三种方式 一,检验数据类型 1.数字类型 is_numeric() 函数 2.字符串类型(强校验) preg_match(“/^[a-zA-Z0-9]{6,}$/”,变量) 二,过滤转义特殊字符 addslashes()对特定字符进行转义 mysqli_real_escape_string()对特定字符进行转义 三,利用mysql的预编译机制 $stmt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值