php防注入式攻击心得_PHP教程

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php防注入式攻击心得_PHP教程，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1974字，纯文字阅读大概需要3分钟。

内容图文

php防注入式攻击心得

一:

这个话题太老生常谈了.
在PHP.INI中将magic_quotes_gpc = On
确实能防得住一些注入式攻击,但这是不是万能的?
我们现在是将POST或者GET收到的变量,将其中的空格转换掉,标点符号,特殊字符全部转换为HTML编码.
演示的时候再将他还原.请问大家是如何做的?交流一下代码啊.

不过还是没有用的.防不了union语句,当你的SQL写得不规范的时候.
比如select * from news where id=$Id,这个变量$Id没有用小引号括起来,而且又没有判断这个$Id是不是数字字符串的时候,就肯定会被注入,就算magic_quotes_gpc = On也一样.
彻底的防注入的方法只有在SQL语句内将变量用小引号括起来,然后
magic_quotes_gpc = On,然后将空格转换掉,标点符号,特殊字符全部转换为HTML编码.
这样我认为就一劳永逸了,不知道有无漏网之鱼,请高手指教,我们现在开发的系统杜绝了注入的话,我才能睡上好觉.哈哈.

一般我是直接在每个页面用函数将_get,_post,_session等数据初步过滤

在具体写入数据库时候强制检查数据类型～

基本这些对一般的注入效果还是不错的

1\ SQL语句最好通过sprintf格式化,再query
2\ 登陆检测之类的时候,最好通过一个值取出另一个值,然后进行比对

举例说明:

哈哈，那是我举的一个例子啊。我仔细的总结了一下，不被注入很容易。
总结如下:
magic_quotes_gpc = On这个打开，然后变量用小引号括住，别人想注入的话，得突破引号，所以他得在变量内加入小引号，加入小引号又会被magic_quotes_gpc = On给转义掉了，突破小引号失败。就干不了坏事。
还有一点就是在MYSQL中有两个注释标记，#和/*，通过这个能将后面的SQL语名注释掉，将这俩字符给转成ASC码或者HTML码。
然后就是注入攻击的爸妈是空格。
如select * from news where id=1 union select * from admin,如果我将空格给删除或者转换掉。
就成了select * from news where id=1unionselect*fromadmin,这是偷窃数据的下场。
select * from news where id=1; drop table news这里将空格弄掉.
select * from news where id=1; droptablenews无法执行。
所以说注入式攻击的爸妈是空格。空格被替换掉之后。真的是能安心睡觉了

http://www.bkjia.com/PHPjc/629798.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629798.htmlTechArticlephp防注入式攻击心得 一: 这个话题太老生常谈了. 在PHP.INI中将magic_quotes_gpc = On 确实能防得住一些注入式攻击,但这是不是万能的? 我们现在是...

内容总结

以上是互联网集市为您收集整理的php防注入式攻击心得_PHP教程全部内容，希望文章能够帮你解决php防注入式攻击心得_PHP教程所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端