很多站长朋友们都不太清楚sql防止注入php,今天小编就来给大家整理sql防止注入php,希望对各位有所帮助,具体内容如下:
本文目录一览: 1、 php如何防止sql注入? 2、 php如何防止sql注入 3、 php防止sql注入以及xss跨站脚本攻击 4、 php防止sql注入简单分析 php如何防止sql注入?额,这是我老师给的答案
答:过滤一些常见的数据库操作关键字,
select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤
php配置文件中register_globals=off;设置为关闭状态.(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值
sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号
提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中
对于常的方法加以封装,避免直接暴漏SQL语句
开启PHP安全模式safe_mode=on
打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"
控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志
使用MYSQLI或PDO预处理
php如何防止sql注入这个方法比较多,这里简单举个例子:
提交的变量中所有的
'
(单引号),
"
(双引号),
\
(反斜线)
and
空字符会自动转为含有反斜线的转义字符,给SQL注入带来不少的麻烦。
请看清楚:“麻烦”而已~这并不意味着PHP防范SQL注入,书中就讲到了利用改变注入语句的编码来绕过转义的方法,比如将SQL语句转成ASCII编码(类似:char(100,58,92,108,111,99,97,108,104,111,115,116…)这样的格式),或者转成16进制编码,甚至还有其他形式的编码,这样以来,转义过滤便被绕过去了
//
去除转义字符
function stripslashes_array($array) {
if (is_array($array)) {
foreach ($array as $k => $v) {
$array[$k] = stripslashes_array($v);
}
}
else if (is_string($array)) {
$array = stripslashes($array);
} return $array;
}
@set_magic_quotes_runtime(0); // 判断 magic_quotes_gpc 状态
if (@get_magic_quotes_gpc()) {
$_GET = stripslashes_array($_GET);
$_POST = stripslashes_array($_POST);
$_COOKIE = stripslashes_array($_COOKIE);
}PHP防范SQL注入的代码
$keywords = addslashes($keywords); $keywords =
str_replace("_","\_",$keywords);//转义掉”_” $keywords =
str_replace("%","\%",$keywords);//转义掉”%”
php防止sql注入以及xss跨站脚本攻击1.post数据
封装转义函数 防sql注入 eag:addslashes($username);addslashes($password);
eag:防止sql注入函数封装
function deepslashes($data){
#判断$data的表现形式 并且需要处理空的情况
if(empty($data)){
return($data);
}
#高级简写 return is_array($data) ? array_map('deepslashes',$data) : addslashes($data);
#初级写法
if(is_array($data)){
#递归循环遍历处理多维数组
foreach ($data as $v) {
return deepslashes($v);
}
}else{
#单一变量
return addslashes($data);
}
#初级写法
}
2.get数据
指url 传参数导致sql发生改变
解决方案
①强制转换,使用函数intval 或者 数据类型 的关键字int
②隐式转换,通过运算,只需要+0即可
3.xss跨站脚本攻击
指恶意攻击向web页面插入html、js标签导致页面出现错误
解决方案
转义标签'<' '>'即可,有以下php函数可解决
htmlspecialchars 函数 和 htmlentites函数
eag:
function deepslashes($data){
#判断$data的表现形式 并且需要处理空的情况
if(empty($data)){
return($data);
}
return is_array($data) ? array_map('deepslashes',$data) : htmlspecialchars ($data);
}
php防止sql注入简单分析本文实例分析了php防止sql注入简单方法。分享给大家供大家参考。具体如下:
这里只说一个简单的方法
防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式
直接看high级别的就可以了
$id
=
$_GET['id'];
$id
=
stripslashes($id);
$id
=
mysql_real_escape_string($id);
if
(is_numeric($id)){
$getid
=
"SELECT
first_name,last_name
FROM
users
WHERE
user_id='$id'";
$result
=
mysql_query($getid)
or
die('<pre>'.mysql_error().'</pre>');
$num
=
mysql_numrows($result);
可见它的处理方式是首先通过
stripslashes
函数删除变量中的反斜杠
\,
然后再使用函数mysql_real_escape_string
转义特殊字符就行了。
所以当我们编写类似代码的时候
$getid="SELECT
first_name,last_name
FROM
users
WHERE
user_id='$id'";
我们最简单的方法是
直接将变量$id
进行stripslashes
和
mysql_real_escape_string
处理。
注意:
这里并不是说这样就安全了,
这只是其中一种方式我可没说这就安全了。
更多的还要依据实际情况进行处理。
希望本文所述对大家的php程序设计有所帮助。
关于sql防止注入php的介绍到此就结束了,不知道本篇文章是否对您有帮助呢?如果你还想了解更多此类信息,记得收藏关注本站,我们会不定期更新哦。
查看更多关于sql防止注入php sql语句防止sql注入的详细内容...