PHP防止SQL注入的方法
Posted tongluren381
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP防止SQL注入的方法相关的知识,希望对你有一定的参考价值。
防止sql注入2点入手
1.前端输入口限制特殊字符输入
2.后端做变量转化,过滤和变量参数话
具体实例:
前端input部分
<input type="text" name="username" class="form-control" placeholder="用户名" maxlength="16" pattern="^[a-zA-Z0-9\\u4e00-\\u9fa5]1,16$" />
<input type="password" name="password" class="form-control" placeholder="密码" maxlength="16" pattern="^[a-z0-9A-Z@]1,16$" />
后端php部分一:
$username=$_POST['username'];
$password=$_POST['password'];
$verifycode=$_POST['verifycode'];
$code=$_SESSION['code']; //获取服务器生成的验证码
//输入过滤,转换
$username = htmlspecialchars(addslashes($username));
$password = htmlspecialchars(addslashes($password));
$code = htmlspecialchars(addslashes($code));
//md5加密
$key = '1234&&xxx@';
$password=md5(md5($password.$key));
PHP简单的数据过滤
1)入库: trim($str),addslashes($str)
2)出库: stripslashes($str)
3)显示: htmlspecialchars(nl2br($str))
function inject_check($sql_str) return eregi('select|insert|and|or|update|delete|\\'|\\/\\*|\\*|\\.\\.\\/|\\.\\/|union|into|load_file|outfile', $sql_str); function verify_id($id=null) if(!$id) exit('没有提交参数!'); elseif(inject_check($id)) exit('提交的参数非法!'); elseif(!is_numeric($id)) exit('提交的参数非法!'); $id = intval($id); return $id; function str_check( $str ) if(!get_magic_quotes_gpc()) $str = addslashes($str); // 进行过滤 $str = str_replace("_", "\\_", $str); $str = str_replace("%", "\\%", $str); return $str; function post_check($post) if(!get_magic_quotes_gpc()) $post = addslashes($post); $post = str_replace("_", "\\_", $post); $post = str_replace("%", "\\%", $post); $post = nl2br($post); $post = htmlspecialchars($post); return $post;
预防数据库攻击的正确做法(二):
<?php
function check_input($value)
// 去除斜杠
if (get_magic_quotes_gpc())
$value = stripslashes($value);
// 如果不是数字则加引号
if (!is_numeric($value))
$value = "'" . mysql_real_escape_string($value) . "'";
return $value;
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
die('Could not connect: ' . mysql_error());
// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>
后端php部分二:
$url = "localhost";
$usr = "root";
$paw = "123";
$database = "mdb";
//$link = 0;
$link = mysqli_connect($url,$usr,$paw,$database)
or die("Error " . mysqli_error($link));
//变量参数话
$sql="SELECT * FROM yonghu WHERE username = ? and password= ?";
$stmt = $link->prepare($sql);
$stmt->bind_param('ss', $username,$password);
$stmt->execute();
$result = $stmt->get_result();
// while ($row = $result->fetch_assoc())
// // do something with $row
//
一:防注入方法一
二:防注入方法二PHP防止SQL注入的方法 - 暗黑郭采洁 - 博客园【一、在服务器端配置】安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要https://www.cnblogs.com/syx9527/p/3988472.html
三:防注入方法三
如何在PHP中防止SQL注入?_搞向CUIT的博客-CSDN博客_php防护sql注入如何在PHP中防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php 如需转载请注明原文和译文的链接谢谢 高翔翻译 Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致Shttps://blog.csdn.net/gusgao/article/details/52231283
php防止sql注入的方法_zhoupenghui168的博客-CSDN博客_php sql注入防御一、什么是SQL注入式攻击?所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:⑴ 某个php Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或...https://blog.csdn.net/zhoupenghui168/article/details/122849227
四:常见注入攻击
小试牛刀:SQL 注入攻击_carol980206的博客-CSDN博客_sql注入攻击实例小试牛刀:SQL注入攻击一、检测注入点二、判断是否存在 SQL 注入可能三、数据库爆破四、字段爆破五、数据库表爆破六、用户名、密码爆破七、总结一、检测注入点首先,在 http://120.203.13.75:6815/?id=1 目标站点页面发现了 ?id,说明可以通过查询 id=1 的内容来获得页面。这相当于查询语句:select * from [表名] where id = '1';...https://blog.csdn.net/carol980206/article/details/87905304
sql注入攻击详解(原理理解)_Footloose_的博客-CSDN博客_sql注入攻击的原理前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。一、什么是sql注入呢? https://blog.csdn.net/qq_36617521/article/details/53633420
以上是关于PHP防止SQL注入的方法的主要内容,如果未能解决你的问题,请参考以下文章