首页 / PHP / php网站如何防止sql注入？【上】

php网站如何防止sql注入？【上】

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php网站如何防止sql注入？【上】，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2787字，纯文字阅读大概需要4分钟。

内容图文

网站的运行安全肯定是每个站长必须考虑的问题，大家知道，大多数黑客攻击网站都是采用sql注入，这就是我们常说的为什么？最原始的静态的网站反而是最安全的。今天我们讲讲PHP注入的安全规范，防止自己的网站被sql注入。如今主流的网站开发语言还是php，那我们就从php网站如何防止sql注入开始说起：Php注入的安全防范通过上面的过程，我们可以了解到php注入的原理和手法，当然我们也同样可以制定出相应该的防范方法：首先是对服务器的安全设置，这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On，display_errs设置为Off，如果id型，我们利用intval()将其转换成整数类型，如代码： $idintval($id);mysql_query”*fromexamplewherearticieid’$id’”;或者这样写：mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")如果是字符型就用addslashes()过滤一下，然后再过滤”%”和”_”如：$searchaddslashes($search);$searchstr_replace(“_”,”\_”,$search);$searchstr_replace(“%”,”\%”,$search);当然也可以加php通用防注入代码：/*************************PHP通用防注入安全代码说明：判断传递的变量中是否含有非法字符如$_POST、$_GET功能：防注入 **************************///要过滤的非法字符$ArrFiltratearray(”‘”,”;”,”union”);//出错后要跳转的url,不填则默认前一页$StrGoUrl”";//是否存在数组中的值functionFunStringExist($StrFiltrate,$ArrFiltrate){feach($ArrFiltrateas$key>$value){if(eregi($value,$StrFiltrate)){returntrue;}}returnfalse;}//合并$_POST和$_GETif(function_exists(array_merge)){$ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);}else{feach($HTTP_POST_VARSas$key>$value){$ArrPostAndGet[]$value;}feach($HTTP_GET_VARSas$key>$value){$ArrPostAndGet[]$value;}}//验证开始feach($ArrPostAndGetas$key>$value){if(FunStringExist($value,$ArrFiltrate)){echo“alert(/”Neeao提示，非法字符/”);”;if(empty($StrGoUrl)){echo“histy.go(-1);”;}else{echo“window.location/”".$StrGoUrl.”/”;”;}exit;}}?>/************************* 保存为checkpostget.php然后在每个php文件前加include(“checkpostget.php“);即可**************************/另外将管理员用户名和密码都采取md5加密，这样就能有效地防止了php的注入。还有服务器和mysql也要加强一些安全防范。对于linux服务器的安全设置：加密口令，使用“/usr/sbin/authconfig”工具打开密码的shadow功能，对passwd进行加密。禁止访问重要文件，进入linux命令界面，在提示符下输入：#chmod600/etc/inetd.conf//改变文件属性为600#chattr+I /etc/inetd.conf //保证文件属主为root#chattr–I /etc/inetd.conf //对该文件的改变做限制禁止任何用户通过su命令改变为root用户在su配置文件即/etc/pam.d/目录下的开头添加下面两行:Auth sufficient /lib/security/pam_rootok.sodebugAuth required /lib/security/pam_whell.sogroupwheel删除所有的特殊帐户#userdel lp等等删除用户#groupdellp等等删除组禁止不使用的suid/sgid程序#find/-typef$-perm-04000 -o–perm-02000$\-execls–lg{}\;

免费领取兄弟连php原创视频教程光盘，详情咨询官网客服：http://www.lampbrother.net

内容总结

以上是互联网集市为您收集整理的php网站如何防止sql注入？【上】全部内容，希望文章能够帮你解决php网站如何防止sql注入？【上】所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/161752.html

来源：【匿名】

【上一篇】php验证是否md5编码的代码【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【php网站如何防止sql注入？【上】】教程文章相关的互联网学习教程文章

某PHP发卡系统SQL注入【图】

源码出自：https://www.0766city.com/yuanma/11217.html安装好是这样的审计发现一处疑似注入的文件地址:/other/submit.php 看到这个有个带入select查询语句的变量$_GET[‘gid’]跟进这个文件，关注这个$_GET[‘gid’]变量带入查询处 Ok，可以看到没有经过任何过滤带入查询，已经确定这是个注入点了，不过我们还需要注意的当前这个php页面(/other/submit.php)正常访问需要什么条件。往上翻看到此处第39 行的 if判断平台...

转：PHP中防止SQL注入的方法

【一、在服务器端配置】安全，PHP代码编写是一方面，PHP的配置更是非常关键。我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在...

PHP防SQL注入攻击

PHP防SQL注入攻击收藏没有太多的过滤，主要是针对php和mysql的组合。一般性的防注入，只要使用php的 addslashes 函数就可以了。以下是一段copy来的代码：PHP代码$_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $key=>$value) { $content[$key] = addslashes($value); } } else { ...

php防止sql注入函数

$magic_quotes_gpc= get_magic_quotes_gpc();@extract(daddslashes($_COOKIE));@extract(daddslashes($_POST));@extract(daddslashes($_GET));if(!$magic_quotes_gpc){$_FILES = daddslashes($_FILES);}functiondaddslashes($string, $force = 0) {if(!$GLOBALS[‘magic_quotes_gpc‘]|| $force) {if(is_array($string)){foreach($string as$key => $val) {$string[$key] =daddslashes($val, $force);}} else {$string =addslashes...

[转]PHP防止SQL注入攻击

如果用户的输入不加修改就插入到SQL查询里，这个应用程序会容易受到SQL注入，就像下面这样： $unsafe_variable = $_POST[‘user_input‘]; mysql_query("INSERT INTO `table` (`column`) VALUES (‘$unsafe_variable‘)"); 这是因为用户能够输入像value‘); DROP TABLE table;--之类的代码，然后这个查询就变成了： INSERT INTO `table` (`column`) VALUES(‘value‘); DROP TABLE table;--‘) ...

php+mysql注入

SQL简单命令介绍：mysql.exe -u 用户名 -p 密码 -h ip地址show databases;查看数据库select version();php注入下的版本号use database(表名）；show tables;显示这张表的表名select * from table;insert update 等into outfile ‘路径‘ （导出数据到路径）select load_file(hex) 查看路径hex编码内容注入用到的SQL函数：version() 版本（这点很重要，决定注入方式）database() 数据库名 -->知道数据库名，然后用它...

PHP:测试SQL注入以及防止SQL注入【代码】【图】

在写登录注册的时候发现了SQL和JS注入这个危害网站的用户举动：测试方法：SQL注入：1先来做一个测试： 2 用户名：’ or 1 # 3密码：随便写8位以上 4 验证码：写正确好吧，就那么简单就进去了：概念如果用户在填写表单或者其他数据的时候，通过一些特殊的数据形式，对SQL的行为作出了非法的影响，就叫作SQL注入！基本原理正常执行的sql语句：1select*from bg_admin where admin_name=‘zhouyang‘and admin_pass=md5(‘12345678‘)不...

PHP MYSQL注入攻击需要预防7个要点

1：数字型参数使用类似intval，floatval这样的方法强制过滤。 2：字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤，而不是简单的addslashes。 3：最好抛弃mysql_query这样的拼接SQL查询方式，尽可能使用PDO的prepare绑定方式。 4：使用rewrite技术隐藏真实脚本及参数的信息，通过rewrite正则也能过滤可疑的参数。 5：关闭错误提示，不给攻击者提供敏感信息：display_errors=off。 6：以日志的方式记录错误信息：l...

对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析【代码】

ThinkPHP官网上曾有一段公告指出，在ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件根据官方文档对"防止SQL注入"的方法解释(参考http://doc.thinkphp.cn/manual/sql_injection.html) 使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果: $Model->where("id=%d and username=‘%s‘ and xx=‘%f‘",array($id,$username,$xx))->select();或者 $Model->where...

php防止SQL注入详解及防范

一个是没有对输入的数据进行过滤（过滤输入），还有一个是没有对发送到数据库的数据进行转义（转义输出）。这两个重要的步骤缺一不可，需要同时加以特别关注以减少程序错误。对于攻击者来说，进行SQL注入攻击需要思考和试验，对数据库方案进行有根有据的推理非常有必要（当然假设攻击者看不到你的源程序和数据库方案），考虑以下简单的登录表单：复制代码代码如下:<form action="/login.php" method="POST"><p>Username: <input t...

php正则验证sql方注入【代码】

1 <?php2function inject_check($Sql_Str) {//自动过滤Sql的注入语句。 3$check=preg_match(‘/select|insert|update|delete|\‘|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i‘,$Sql_Str);4if ($check) {5echo ‘<script language="JavaScript">alert("系统警告：\n\n请不要尝试在参数中包含非法字符尝试注入！");</script>‘;6exit();7 }else{8return$Sql_Str;9 } 10} 11echo inject_check(‘select * from table ...

PHP中该怎样防止SQL注入

因为用户的输入可能是这样的：1value‘); DROP TABLE table;--　　那么SQL查询将变成如下：1INSERT INTO `table` (`column`) VALUES(‘value‘); DROP TABLE table;--‘)　　应该采取哪些有效的方法来防止SQL注入？　最佳回答（来自Theo）：　　使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析，参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。你有两种选择来实现该方法：　　...

谈谈PHP网站的防SQL注入

SQL（Structured Query Language）即结构化查询语言。SQL 注入，就是把 SQL 命令插入到 Web 表单的输入域或页面请求参数的查询字符串中，在 Web表单向 Web 服务器提交 GET 或 POST 请求时，如果服务器端未严格验证参数的有效性和合法性，将导致数据库服务器执行恶意的 SQL 命令。SQL 注入攻击的过程：（１）判断 Web 应用是否可以进行 SQL 注入。（２）寻找 SQL 注入点。（３）猜解用户名和密码。（４）寻找 Web 系统管理后台入口。...

php代码审计－－sql注入

sql注入是web安全中最常见，也是平常中危害最大的漏洞。最近在学习代码审计，拿自己审核的一段代码做个笔记。 1、sql语句拼接可能引起sql注入很多偷懒的程序员对于没有过滤的参数，直接将其拼接到sql语句中，可能导致命令执行。如：$sql = "select count(*) as qty from t_user where f_uid=‘"+$userAccount+"‘ and f_password=‘"+$password+"‘";造成sql注入时的sql语句就变成了select count(*) as qty from t_user where f_ui...

渗透测试----SQL注入~web日志分析thinkphp漏洞及duplicate报错注入【图】

查看web时可以直接检索关键字，如cmd，就是直接执行系统命令这种的。 select count(*),floor(rand(0)*2) x from information_schema.character_sets group by x; rand(0) 随机输出0~1间的浮点数 select rand(0) from information_schema.schemata; rand(0)*2 随机输出0~2间的浮点数 select rand(0)*2 from information_schema.schemata; floor(rand(0)*2) 将随机输出的浮点数取整 select floor(rand(0)*2) from information_sche...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / php网站如何防止sql注入？【上】

php网站如何防止sql注入？【上】

内容导读

内容图文

内容总结

内容备注

内容手机端

【php网站如何防止sql注入？【上】】教程文章相关的互联网学习教程文章

某PHP发卡系统SQL注入【图】

转：PHP中防止SQL注入的方法

PHP防SQL注入攻击

php防止sql注入函数

[转]PHP防止SQL注入攻击

php+mysql注入

PHP:测试SQL注入以及防止SQL注入【代码】【图】

PHP MYSQL注入攻击需要预防7个要点

对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析【代码】

php防止SQL注入详解及防范

php正则验证sql方注入【代码】

PHP中该怎样防止SQL注入

谈谈PHP网站的防SQL注入

php代码审计－－sql注入

渗透测试----SQL注入~web日志分析thinkphp漏洞及duplicate报错注入【图】

PHP - 相关标签

SQL - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程