php – MYSQL二阶攻击问题

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php – MYSQL二阶攻击问题，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1174字，纯文字阅读大概需要2分钟。

内容图文

现在我正在使用预处理语句,选择/插入数据到mysql.
好我的问题我发现了二阶攻击.
因此,用户例如在我的网站上注册.
并使用像这样的电子邮件或用户名

"username '; DELETE Orders;--"

这会将插入到mysql表中

因此,当我通过预准备语句再次接收数据时,在准备好的语句中再次插入/执行某些操作.

因为我使用准备好的陈述,我会安全吗？

样品：

Get Bad Data:

$sql = "SELECT * FROM USERS where USERID = 1";
...
$stmt->bind_result($username);
...

Next Query:
INSERT or do other things:
$SQL = "SELECT * FROM email WHERE USERNAME = ?";
....
$stmt->bind_param('s', $username);
...

我以为我会安全,如果我这样做的话？或者是否存在泄漏？

但如果我这样做,我会受到攻击：

$sql = "SELECT * FROM email WHERE username = $username";
$stmt = $mysqli->prepare($sql);
$stmt->execute();

谢谢：-)

解决方法:

只要占位符一直用于所有[变量]数据(无处不在！),那么所有SQL注入攻击*都会被阻止,二阶或其他.

这并不意味着没有漏洞或其他攻击媒介 – 但它确实意味着拥有“聪明用户名”的人将无法向数据库发送意外的“DROP”.正如所指出的那样,如果任何地方使用“不安全的SQL语句”那么,那么！保证是关闭的.

(“不安全的SQL语句”集包括但不限于任何不对所有[可变]数据使用占位符的此类语句.)

快乐的编码.

*这假设占位符支持/数据库驱动程序中没有错误/漏洞,当然.但那是另一个故事……

内容总结

以上是互联网集市为您收集整理的php – MYSQL二阶攻击问题全部内容，希望文章能够帮你解决php – MYSQL二阶攻击问题所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/901586.html

来源：【匿名】

【上一篇】php – 在mysql中获取不同的记录后应用限制为10 【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【php – MYSQL二阶攻击问题】教程文章相关的互联网学习教程文章

随着PHP的广泛运用，一些黑客们也在无时不想找PHP的麻烦，通过PHP程序漏洞进行攻击就是其中一种。在节，我们将从全局变量，远程文件，文件上载，库文件，Session文件，数据类型和容易出错的函数这几个方面分析了PHP的安全性。如何通过全局变量进行攻击？PHP中的变量不需要事先声明，它们会在第一次使用时自动创建，它们的类型根据上下文环境自动确定。从程序员的角度来看，这无疑是一种极其方便的处理方法。一旦一个变量被创建了，...

PHP TP5 XSS攻击

1.什么是XSS攻击　　跨站脚本攻击(Cross Site Scripting)，攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。2.转化思想防范xss攻击　　修改application/config.php　　注：在框架配置文件中，配置的函数名称，如果写错，页面不会报错，只是所有接收的数据都是null.‘default_filter‘ => ‘htmlspecialchars‘,3.过滤思想防范xss攻击　　（1）使用co...

PHP防SQL注入攻击

PHP防SQL注入攻击收藏没有太多的过滤，主要是针对php和mysql的组合。一般性的防注入，只要使用php的 addslashes 函数就可以了。以下是一段copy来的代码：PHP代码$_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $key=>$value) { $content[$key] = addslashes($value); } } else { ...

PHP防止注入攻击实例分析

本文以实例形式详细分析了PHP防止注入攻击的方法。分享给大家供大家参考。具体分析如下：PHP addslashes() 函数--单撇号加斜线转义PHP String 函数定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是：单引号 (‘) 双引号 (") 反斜杠 (\) NULL 语法：addslashes(string)参数描述string必需。规定要检查的字符串。提示和注释提示：该函数可用于为存储在数据库中的字符串以及数据库查询语句准备合...

[转]PHP防止SQL注入攻击

如果用户的输入不加修改就插入到SQL查询里，这个应用程序会容易受到SQL注入，就像下面这样： $unsafe_variable = $_POST[‘user_input‘]; mysql_query("INSERT INTO `table` (`column`) VALUES (‘$unsafe_variable‘)"); 这是因为用户能够输入像value‘); DROP TABLE table;--之类的代码，然后这个查询就变成了： INSERT INTO `table` (`column`) VALUES(‘value‘); DROP TABLE table;--‘) ...

freebsd6.2 nginx+php+mysql+zend系统优化防止ddos攻击

一、安装软件前的准备系统的安装：插入freebsd6.2以上的光盘，最小化安装系统，同时安装好ports二、手动安装nginx+php1) 进入系统后，准备cvs更新：1. cd /usr/ports/net/cvsup-without-gui2. cp /usr/share/examples/cvsup/ports-supfile /etc/ports-supfile3. # vi /etc/ports-supfile将其中的#*default host=CHANGE_THIS.FreeBSD.org一行改为*default host=cvsup4.FreeBSDchina.org4. 更...

PHP MYSQL注入攻击需要预防7个要点

1：数字型参数使用类似intval，floatval这样的方法强制过滤。 2：字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤，而不是简单的addslashes。 3：最好抛弃mysql_query这样的拼接SQL查询方式，尽可能使用PDO的prepare绑定方式。 4：使用rewrite技术隐藏真实脚本及参数的信息，通过rewrite正则也能过滤可疑的参数。 5：关闭错误提示，不给攻击者提供敏感信息：display_errors=off。 6：以日志的方式记录错误信息：l...

使用PHP 构建的Web 应用如何避免XSS 攻击

使用PHP 构建的Web 应用如何避免XSS 攻击Web 2.0 的发展为网络用户的互动提供了更多机会。用户通过在论坛发表评论，或是在博客发表留言都可能有意或无意输入一些破坏性的内容，从而造成网页不能正常显示，影响其它用户的使用。XSS 全称为Cross Site Scripting，因为CSS 已经用作样式表的简称，故称为XSS。XSS 是一种常见的网站攻击的方法。其原理是通过在网页的输入框输入一些恶意的内容，通常是JavaScript脚本片段，而这些恶意输入...

php之文件类型解析漏洞防御与攻击

php在处理文件上传时，经常可以用到下面几种方式来判断文件的类型1.通过文件名后缀，不安全，非常容易欺骗2.通过mime判断，部分类型的文件通过修改文件后缀名，也可以欺骗服务器3.通过头字节判断文件类型，但是判断范围有限，比如docx/xlsx等新的文档，通过头信息判断时，其实是一个zip包PHP通过读取文件头部两个字节判断文件真实类型及其应用示例function checkFileType($fileName){ $file = fopen($fileName, "rb"); ...

如何对PHP程序中的常见漏洞进行攻击

来源:Chinaasp 之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，原文可以在http://www.securereality.com.au/stu...arlet.txt找到。由于原文比较长，而且有相当一部分是介绍文章的背景或PHP的基础知识，没有涉及到PHP安全方面的内容，因此我没有翻译。如果你想了解这方面的知识，请参考原文。文章主...

php跨站攻击实例分析

本文实例讲述了php跨站攻击的原理与防范技巧。分享给大家供大家参考。具体方法分析如下：跨站攻击就是利用程序上的一些细节或bug问题进行的，那么我们要如何耿防止跨站攻击呢？下面就以一个防止跨站攻击例子来说明，希望对各位有帮助。复制代码代码如下:<?php #demo for prevent csrf /** * enc */ function encrypt($token_time) { return md5(‘!@##$@$$#%43‘ . $token_time); } $token_time = time(); $token = encrypt($toke...

[网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解（SQL注入、XSS攻击、文件上传漏洞）【图】

当您阅读到该篇文章时，作者已经将“网络安全自学篇”设置成了收费专栏，首先说声抱歉。感谢这一年来大家的阅读和陪伴，这100篇安全文章记录了自己从菜鸡到菜鸟的成长史，该部分知识也花了很多精力去学习和总结。由于在外读书且需要养娃，所以按最低价9.9元设置成了收费专栏，赚点奶粉钱，感谢您的抬爱。当然，如果您还是一名在读学生或经济拮据，可以私聊我给你每篇文章开白名单，也可以去github下载对应的免费文章，更希望您能进...

如何对PHP程序中的常见漏洞进行攻击

如何对PHP程序中的常见漏洞进行攻击（上）

如何对PHP程序中的常见漏洞进行攻击（上）翻译：analysist（分析家）来源：http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击（上）原著：Shaun Clowes <http://www.securereality.com.au/> 翻译：analysist <http://www.nsfocus.com/> 之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，...

如何对PHP程序中的常见漏洞进行攻击（下）

如何对PHP程序中的常见漏洞进行攻击（下）翻译：analysist（分析家）来源：http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击（下）原著：Shaun Clowes <http://www.securereality.com.au/> 翻译：analysist <http://www.nsfocus.com/> [库文件] 正如我们前面讨论的那样，include()和require()主要是为了支持代码库，因为我们一般是把一些经常使用的函数放到一个独立的文件中，这个独立的文件就是代码库，当需要使用...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / php – MYSQL二阶攻击问题

php – MYSQL二阶攻击问题

内容导读

内容图文

内容总结

内容备注

内容手机端

【php – MYSQL二阶攻击问题】教程文章相关的互联网学习教程文章

PHP程序的常见漏洞攻击分析

PHP TP5 XSS攻击

PHP防SQL注入攻击

PHP防止注入攻击实例分析

[转]PHP防止SQL注入攻击

freebsd6.2 nginx+php+mysql+zend系统优化防止ddos攻击

PHP MYSQL注入攻击需要预防7个要点

使用PHP 构建的Web 应用如何避免XSS 攻击

php之文件类型解析漏洞防御与攻击

如何对PHP程序中的常见漏洞进行攻击

php跨站攻击实例分析

[网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解（SQL注入、XSS攻击、文件上传漏洞）【图】

如何对PHP程序中的常见漏洞进行攻击

如何对PHP程序中的常见漏洞进行攻击（上）

如何对PHP程序中的常见漏洞进行攻击（下）

MYSQL - 相关标签

PHP - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程