1. 程式人生 > >防sql注入方法

防sql注入方法

一、什麼是sql注入
sql注入是比較常見的網路攻擊方式之一,它不是利用作業系統的bug進行攻擊,而是通過程式設計程式碼的疏漏,通過編寫特定的sql語句,進行資料庫的非法訪問。
二、 sql注入流程
尋找sql注入位置
判斷伺服器型別和後臺資料型別
針對不同的伺服器和資料庫特點進行sql注入
三、防sql注入
1、過濾掉一些常見的資料庫操作關鍵字:select ,update,delete,and,*等,或者通過系統函式addslashes()進行過濾
2、在php配置檔案中register_globals = off;設定為關閉狀態
//將註冊全域性變數關閉。比如接受post表單的值使用

post["user"],registerglobals=on;使 usee可以接收表單的值。
3、SQL書寫時,儘量不要省略小引號和單引號
4、提高資料庫命名技巧,對於一些重要的欄位根據程式的特點命名
5、對於常用的方法加以封裝,避免直接暴漏SQL語句
6、開啟php安全模式safe_mode=on
7、開啟magic_quotes_gpc來防止SQL注入SQL注入
它開啟後將自動把使用者提交的SQL語句的查詢進行轉換,把轉義為\,這對防止SQL注入有重大作用
8、控制錯誤資訊關閉錯誤提示資訊,將錯誤資訊寫到系統日誌。
9、使用mysqli或pdo處理