ThinkPHP如何防止SQL注入?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ThinkPHP如何防止SQL注入?相关的知识,希望对你有一定的参考价值。

(1)查询条件尽量使用数组方式,这是更为安全的方式;
(2)如果不得已必须使用字符串查询条件,使用预处理机制;
(3)使用绑定参数;
(4)强制进行字段类型验证,可以对数值数据类型做强制转换;
(5)使用自动验证和自动完成机制进行针对应用的自定义过滤;
(6)使用字段类型检查、自动验证和自动完成机制等避免恶意数据的输入;
(7)做一些过滤。
参考技术A 有几种方式
1、最常用的参数过滤 strip_tags,strtolower等,直接$_GET / $_POST肯定不好。

2、服务器端做限制。
3、使用框架自带的参数接收,例如 Thinkphp中的input等。

如何防止sql注入?防止sql注入方法介绍

一、什么叫SQL注入攻击?sql注入简介

SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。

SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL语句被数据库运行,造成了难以挽回的损失。

二、SQL注入攻击的整体构思

  1. 寻找到可以SQL注入的部位
  2. 分辨服务器类型和后台管理数据库种类
  3. 对于不同的网络服务器和数据库特性开展SQL注入攻击

三、如何防止sql注入攻击

整体而言,预防SQL注入大概有两种思路 ,一是提升对输入內容的查验;二是应用参数化语句来传递客户输入的內容。具体而言有以下几种方法:

1.严格区分用户权限

在权限设计中,针对软件用户,没有必要给予数据库的创建、删除等管理权限。这样即便在用户输入的SQL语句种含有内嵌式的恶意程序,因为其权限的限定,也不可能执行。所以程序在权限设计时,最好把管理员与用户区别起来。这样能够最大限度的降低注入式攻击对数据库产生的损害。

2.强制参数化语句

在设计数据库时,如果用户输入的数据并不直接内嵌到SQL语句中,而通过参数来进行传输的话,那麼就可以合理的预防SQL注入式攻击。
运用这种方法能够避免绝大多数的SQL注入攻击。遗憾的是,如今适用参数化语句的数据库引擎并不多,但是数据库工程师在开发时要尽可能选用参数化设计语句。

3.检验用户输入的信息

在SQL Server数据库中,有比较多的输入內容检验工具,能够协助管理人员来应对SQL注入式攻击:

  • 检测字符串的內容,只接纳需要的值;
  • 拒绝包括二进制、转义序列和注释內容,这有利于预防脚本注入。
  • 检测输入内容的大小和数据类型,强制执行适度的限定与变换,这有利于避免缓冲区溢出。

4.利用专业的漏洞扫描工具

应用专业的漏洞扫描工具,能够协助管理人员来找寻有可能被SQL注入攻击的点。凭着专用工具,管理人员可以快速发觉SQL注入的漏洞,并采用积极主动的对策来预防SQL注入式攻击。

5.利用陷阱账户

可以设定两个账户,即管理员账户和防注入账户。将防注入的账户伪装成管理员账户,如将名称设置为admin,让检测软件产生错觉,在密码方面,可以设置成超长的中文字符(几千字),让攻击者的漏洞检测软件达到高负荷状态直至资源耗尽。

了解更多数据库知识,点击原文链接:www.shulanxt.com/doc/dbdoc/sql-injection

以上是关于ThinkPHP如何防止SQL注入?的主要内容,如果未能解决你的问题,请参考以下文章

ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞

thinkphp 防sql注入

什么叫sql注入,如何防止sql注入

ThinkPHP 1.5.0 漏洞求助

什么是sql注入如何防止sql注入

如何彻底防止SQL注入?