首页 / PHP / php防注入式攻击心得_PHP教程
php防注入式攻击心得_PHP教程
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了php防注入式攻击心得_PHP教程,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1974字,纯文字阅读大概需要3分钟。
内容图文
![php防注入式攻击心得_PHP教程](/upload/InfoBanner/zyjiaocheng/179/c514e76dbb7c4e2890e5bccb9337ede1.jpg)
php防注入式攻击心得
一:
这个话题太老生常谈了.
在PHP.INI中将magic_quotes_gpc = On
确实能防得住一些注入式攻击,但这是不是万能的?
我们现在是将POST或者GET收到的变量,将其中的空格转换掉,标点符号,特殊字符全部转换为HTML编码.
演示的时候再将他还原.请问大家是如何做的?交流一下代码啊.
不过还是没有用的.防不了union语句,当你的SQL写得不规范的时候.
比如select * from news where id=$Id,这个变量$Id没有用小引号括起来,而且又没有判断这个$Id是不是数字字符串的时候,就肯定会被注入,就算magic_quotes_gpc = On也一样.
彻底的防注入的方法只有在SQL语句内将变量用小引号括起来,然后
magic_quotes_gpc = On,然后将空格转换掉,标点符号,特殊字符全部转换为HTML编码.
这样我认为就一劳永逸了,不知道有无漏网之鱼,请高手指教,我们现在开发的系统杜绝了注入的话,我才能睡上好觉.哈哈.
一般我是直接在每个页面用函数将_get,_post,_session等数据初步过滤
在具体写入数据库时候强制检查数据类型~
基本这些对一般的注入效果还是不错的
1\ SQL语句最好通过sprintf格式化,再query
2\ 登陆检测之类的时候,最好通过一个值取出另一个值,然后进行比对
举例说明:
哈哈,那是我举的一个例子啊。我仔细的总结了一下,不被注入很容易。
总结如下:
magic_quotes_gpc = On这个打开,然后变量用小引号括住,别人想注入的话,得突破引号,所以他得在变量内加入小引号,加入小引号又会被magic_quotes_gpc = On给转义掉了,突破小引号失败。就干不了坏事。
还有一点就是在MYSQL中有两个注释标记,#和/*,通过这个能将后面的SQL语名注释掉,将这俩字符给转成ASC码或者HTML码。
然后就是注入攻击的爸妈是空格。
如select * from news where id=1 union select * from admin,如果我将空格给删除或者转换掉。
就成了select * from news where id=1unionselect*fromadmin,这是偷窃数据的下场。
select * from news where id=1; drop table news这里将空格弄掉.
select * from news where id=1; droptablenews无法执行。
所以说注入式攻击的爸妈是空格。空格被替换掉之后。真的是能安心睡觉了
http://www.bkjia.com/PHPjc/629798.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629798.htmlTechArticlephp防注入式攻击心得 一: 这个话题太老生常谈了. 在PHP.INI中将magic_quotes_gpc = On 确实能防得住一些注入式攻击,但这是不是万能的? 我们现在是...
内容总结
以上是互联网集市为您收集整理的php防注入式攻击心得_PHP教程全部内容,希望文章能够帮你解决php防注入式攻击心得_PHP教程所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。