如何在PHP裡防止SQL隱碼攻擊

1樓：

過濾一些常見的資料庫操作關鍵字，select ,insert,update,delete,and,*等喊啟或通過系統函式addslashes對內容進行過濾。

php配置檔案中register_globals=off;設定為關閉狀態。(作用將註冊全域性變數鄭扮如關閉);如接收post表單的值使用$_post['user'],假設設定為on的話$user才接收值。

sql語句書寫的時候儘量不要省略小引號(tab上面那個)和單引號。

提高資料庫命名技巧，對於一些重要的欄位根據程式的特點缺差命名，使之不易被猜中。

對於常的方法加以封裝，避免直接暴漏sql語句。

開啟php安全模式safe_mode=on

開啟magic_quotes_gpc來防止sql注入，預設為關閉，開啟後自動把使用者提交sql查詢語句進行轉換把"'"轉換成"\'

控制錯誤資訊輸出，關閉錯誤資訊提示，將錯誤資訊寫到系統日誌。

使用mysqli或pdo預處理。

2樓：匿名使用者

過濾獲取的資料。

可以看看這兆燃個族哪虛緩乎。

php如何防止sql注入攻擊？

3樓：豬八戒網

注入式攻擊的型別。

可能存在許多不同型別的攻擊動機，但是乍看上去，似乎仿橡存在更多的型別。這是非常真實的-如果惡意使用者發現了乙個能夠執行多個查詢的辦法的話。本文後面，我們會對此作詳細討論。

如。果你的指令碼正在執行乙個select指令，那麼，攻擊者可以強迫顯示乙個**中的每一行記錄-通過把乙個例如 =1這樣的條件注態大頌入到where子句中，如下所示(其中，注入部分以粗體顯示)：

select*fromsiteswheresite=''or1=1;'

正如我們在前面所討論的，這本身可能是很有用的資訊，因為它揭示了該**的一般結構(這是一條普通的記錄所不能實現的)，以及潛在地顯示包含機密資訊的記錄。

一條更新指令潛在地具有更直接的威脅。通過把其它屬性放到set子句中，一名攻擊者可以修改當前被更新的記錄中的任何欄位，例如下面的例子（其中，注入部分以粗體顯示）：

updatesitessetsite=''where=

site=''

通過把乙個例如1=1這樣的恆真條件新增到一條更新指令的where子句中，帆鄭這種修改範圍可以擴充套件到每一條記錄，例如下面的例子：

updatesitessetsite=''where=

site=';'

最危險的指令可能是delete-這是不難想像的。其注入技術與我們已經看到的相同-通過修改where子句來擴充套件受影響的記錄的範圍，例如下面的例子：

deletefromsitessetsite=''where=

site=';

php如何防止sql注入

4樓：指令碼腦洞

一種有效的方法是使用引數化查詢。在引數化查詢中，你預先定義好查詢語句，然後將變數放在佔位符處。當執行查詢時，您可以安全地將值繫結到佔位符上，而不會有任何 sql 注入攻擊的風險。

例如：query = select * from users where username = username and password = password";

stmt = db->prepare($query);

stmt->bindvalue(':username', username);

stmt->bindvalue(':password', password);

stmt->execute();

這裡的 :username 和 :password 是佔位符，在執行查詢時，會將它們替換為實際的變數值。

使用引數化查詢可以有效地防止 sql 注入攻擊，因為它不會將使用者輸入作為 sql 語句的一部分。

此外，還可以使用轉義函式罩隱對使用者輸入進行處理，以防止 sql 注入物毀廳攻擊。在 php 中，可以使用 mysqli_real_escape_string 函式來轉義使用者餘孫輸入。例如：

username = mysqli_real_escape_string($db, $username);

這樣，就可以將使用者輸入中的特殊字元轉義，以防止 sql 注入攻擊。

5樓：流浪商人小

防止 sql 注入攻擊的方法包括：

使用預處理語句和繫結引數：使用 pdo 或 mysqli 等庫提供的預處理語句和繫結引數功能，可以將引數與 sql 查詢語句分離，從而避免碧槐氏 sql 注入攻擊。

過濾輸入資料：在接收使用者輸入資料時，對資料進行過濾和驗證，比如使用 php 內建函式如filter_var()、htmlspecialchars()等。

使用安全的編碼方式：在向資料庫中插入或更新資料時，使用安全的編碼方式，比如將特殊字元轉義為 html 實體或使用 addslashes() 函悔散數等。

限制資料庫使用者許可權：為了最小化損失，資料庫使用者的許可權應該被限制為唯讀或只寫，而不是具有管理員權明雀限。

怎麼樣在php中阻止sql注入式攻擊

6樓：網友

過濾不符合要求的字元。

php中防止sql注入，該如何解決？

7樓：糖果小寶

防sql注入的乙個簡單方法就是使用框架，一般成熟框架中會整合各種安全措施。

當然也可以自己處理，如果使用者的輸入能直接插入到sql語句中，那麼這個應用就易收到sql注入的攻擊。我認為最重要的一點，就是要對資料型別進行檢查和轉義。

display_errors 選項，應該設為 display_errors = off。這樣 php 指令碼出錯之後，不會在 web 頁面輸出錯誤，以免讓攻擊者分析出有作的資訊。

開啟magic_quotes_gpc來防止sql注入，magic_quotes_gpc= off，這個預設是關閉的，如果它開啟後將自動把使用者提交對sql的查詢進行轉換，比如把 ' 轉為 \'等，對於防止sql注射有重大作用。如果magic_quotes_gpc=off，則使用addslashes()函式。

mysql 函式

呼叫mysql_query 等mysql 函式時，前面應該加上 @，即 @mysql_query(..這樣 mysql 錯誤不會被輸出。同理以免讓攻擊者分析出有用的資訊。

另外，有些程式設計師在做開發時，當mysql_query出錯時，習慣輸出錯誤以及sql 語句。

mysql_real_escape_string --轉義 sql 語句中使用的字串中的特殊字元，並考慮到連線的當前字符集。

sql語句

對提交的 sql 語句，進行轉義和型別檢查。如果請求是數值型，那麼呼叫is_numeric() 判斷是否為數值。如果不是，則返回程式指定的預設值。

簡單起見，對於文字串，我將使用者輸入的所有危險字元（包括html**），全部轉義。由於php 函式 addslashes()存在漏洞，我用str_replace()直接替換。get_magic_quotes_gpc()函式是php 的函式，用來判斷magic_quotes_gpc 選項是否開啟。

其它

使用預處理語句和引數化查詢（pdo或mysqli）。預處理語句和引數分別傳送到資料庫伺服器進行解析，引數將會被當作普通字元處理。這種方式使得攻擊者無法注入惡意的sql。

如何在PHP裡防止SQL隱碼攻擊

如何在sql查詢呼叫cmd命令，如何在SQL查詢呼叫CMD命令

如何在macbookpro搭建php開發環境

如何在js中呼叫php，如何在js中呼叫class的方法呼叫

相關推薦