2. 程式人生 > >PHP SQL防注入

PHP SQL防注入

阿新 發佈:2019-01-07

參考資料:

PHP中防止SQL注入的方法
php操作mysql防止sql注入(合集)
PDO防注入原理分析以及使用PDO的注意事項
php SQL 防注入的一些經驗
如何在PHP中防止SQL注入?
PHP安全程式設計:防止SQL注入
addslashes與mysql_real_escape_string的區別
How can I prevent SQL injection in PHP?

什麼是SQL注入?

Sql注入,是通過程式設計師程式設計時的疏忽,經過查詢sql注入的位置、判斷伺服器型別和後臺資料型別、針對不同型別的伺服器以及資料庫進行攻擊,實現無賬號登入,甚至篡改資料庫。

解決方法

1.魔術函式 addslashes

Addslashes()是與stripslashes()是功能相反的函式。
Addslashes()用於給變數中的’ ” 與null新增反斜槓\,用於避免傳入sql語句的引數格式錯誤,同時如果有人注入子查詢,通過加可以將引數解釋為內容,而非執行語句,避免被mysql執行。
Addslashes()只在PHP中執行,\是不會寫入mysql中的。
當 PHP 指令 magic_quotes_sybase 被設定成 on 時,意味著開啟addslashes()。
在PHP5.4.0版本之前,magic_quotes_sybase 預設開啟。
可以通過函式get_magic_quotes_gpc()判斷magic_quotes_gpc是否開啟。

if (!get_magic_quotes_gpc()) {
		$lastname = addslashes($_POST[‘lastname’]);
	} else {
		$lastname = $_POST[‘lastname’];
	}

但是addslashes()並不會檢測字符集,比如如果是gbk編碼,可能會將某些字元解釋成兩個ASCII位元組,造成新的注入風險。Utf沒有這個問題。

2.mysql_real_escape_string

mysql_real_escape_string()與addslashes()相比,不僅會將’ " NOL(ascii的0)轉義,還會把r n進行轉義。同時會檢測資料編碼。
mysql_real_escape_string()使用時需要進行資料庫的連線,因為要獲取資料庫的字符集,如果當前不存在連線,會使用上一次連線。
這個函式在PHP5.5.0不被推薦使用,PHP7.0被廢棄

3.預處理 (Prepared Statements) ---- mysqli:prepare()

Mysqli的引數化繫結

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
$stmt->bind_param('sssd', $code, $language, $official, $percent);

在這裡插入圖片描述

mysqli=newmysqli("example.com","user","password","database");
stmt = mysqli−>prepare("SELECT id,label FROM test WHERE id=?");
stmt->bind_param(1, city);stmt->execute();
res=stmt->get_result();
row=res->fetch_assoc();

Mysqli預處理查詢是將一步查詢分作兩步操作
A 寫sql語句,用?佔位,替代sql中的變數
B 替換變數
C 執行SQL語句
D 得到一個二進位制結果集,從二進位制結果中取出php結果集
E 遍歷結果集

4.預處理 (Prepared Statements) ---- PDO

使用PDO引數化繫結
類似於mysqli也是分兩步預處理

$pdo = new PDO("mysql:host=192.168.0.1;dbname=test;charset=utf8","root");
$st = $pdo->prepare("select * from info where id =? and name = ?");
 
$id = 21;
$name = 'zhangsan';
$st->bindParam(1,$id);
$st->bindParam(2,$name);
 
$st->execute();
$st->fetchAll();

PHP將sql模板和變數兩次傳送給mysql,由mysql進行變數的轉義處理。
PHP版本不同,有不同的處理方式。
PHP版本小於5.3.6,需要關閉PHP使用本地模擬prepare
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
PHP版本為5.3.6+的,請在在PDO的DSN中指定charset屬性
因為PHP5.3.6版本之前,並不支援PDO的DSN charset設定

總結

控制注入主要分三個方面:
1.做引數合法性,特殊字元,長度校驗
2.資料庫中嚴格設定引數型別,沒必要用字串型別的,就少用,不得已使用可以控制字元長度;能用int,bool之類的就用此種類型
3.操作SQL採用引數化(parameter)

相關推薦

PHP SQL注入

參考資料: PHP中防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事項 php SQL 防注入的一些經驗 如何在PHP中防止SQL注入? PHP安全程式設計:防止SQL注入 addslashes與mysql_real_escap

最新天貓3輪面試題目:虛擬機器+併發鎖+Sql注入+Zookeeper

一面 自我介紹、專案介紹 Spring攔截器、實現了哪些方法?底層原理 AOP如何配置,底層原理、2種動態代理,aop註解實現,xml定義切面 Bean的作用域,單例模式是否執行緒安全?惡漢模式是否執行緒安全?bean如何結束生命週期? Spring事務種類,如

2018年天貓3輪面試題目:虛擬機器+併發鎖+Sql注入+Zookeeper

一面 自我介紹、專案介紹 Spring攔截器、實現了哪些方法?底層原理 AOP如何配置,底層原理、2種動態代理,aop註解實現,xml定義切面 Bean的作用域,單例模式是否執行緒安全?惡漢模式是否執行緒安全?bean如何結束生命週期? Spring事務種

SQL注入 web開發中防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

sql 注入

看程式碼看到一個php與mysql的一種特殊用法,就查詢此用法的意義,發現是一種sql防注入的方法,平時查詢sql防注入的方法也沒查到過這種用法,趕快記下來 。介紹完該方法,再通過引用他人的部落格,來介紹一下sql注入攻擊技巧與防範。 防注入方法: 用到的方法: p

Mybatis中的SQL注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如“or ‘1’=‘1’”這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比

SQL注入例項

防止SQL注入的動機 近來教育行業的資訊保安問題真是一波未平一波又起:陸續發生多個高校網站網頁被篡改,甚至發生在G20會議期間,影響惡劣;高校密集被爆SQL注入漏洞,涉及80%以上的高校;教育行業成為電信詐騙的重災區,據統計,被騙學生佔全部被騙人數的20%左右,

SQL注入大全——史上最全的 SQL 注入資料

SQL注入速查表是可以為你提供關於不同種類 SQL注入漏洞 的詳細資訊的一個資源。這份速查表對於經驗豐富的滲透測試人員,或者剛開始接觸 Web應用安全 的初學者,都是一份很好的參考資料。關於這份 SQL 注入速查表這份 SQL 速查表最初是 2007 年時 Ferruh Mavituna 在他自己的部落格上釋

SpringMVC以資料繫結方式做HTML、SQL注入

首先先定義個一個類整合 PropertyEditorSupport 屬性編輯器public class StringEscapeEditor extends PropertyEditorSupport { private boolean escapeHTML; //定義

SQL注入SqlParameter的使用

概述:一般來說,在更新DataTable或是DataSet時,如果不採用SqlParameter,那麼當輸入的Sql語句出現歧義時,如字串中含有單引號,程式就會發生錯誤,並且他人可以輕易地通過拼接Sq

Mybatis是如何實現SQL注入

Mybatis這個框架在日常開發中用的很多,比如面試中經常有一個問題:$和#的區別,它們的區別是使用#可以防止SQL注入,今天就來看一下它是如何實現SQL注入的。 什麼是SQL注入 在討論怎麼實現之前,首先了解一下什麼是SQL注入,我們有一個簡單的查詢操作:根據id查詢一個使用者資訊。它的sql語句應該是這樣

php用於SQL注入的幾個函式

用於防SQL注入的幾個函式 不要相信使用者的在登陸中輸入的內容,需要對使用者的輸入進行處理 SQL注入: ' or 1=1 #   防止SQL注入的幾個函式:   addslashes($string):用反斜線引用字串中的特殊字元' " \ $u

PHPXSS攻擊和sql注入

SQL注入如何防? TP中的底層已經做了防SQL注入的操作,只要我們操作資料庫時使用TP提供給我們的方法就不會有問題,如新增商品時我們呼叫了add方法。唯一要注意的就是如果我們自己拼SQL執行時就要自己來過濾了。 總結:如果要自己拼SQL語句,一定要自己再過濾一下【add

php注入--sql

//防SQL注入 function check_sql($word){ $words = array(); $words[] = "add"; $words[] = "count"; $wor

PHP SQL注入漏洞防範

在PHP中採用魔術引號進行過濾,但是PHP5.4之後被取消了,同時在遇到int型注入也不會那麼有效,所以用的最多的還是過濾函式和類(例如discuz,dedecms,phpcms),如果單純的過濾函式寫的不嚴謹,就會出現繞過的情況,最好的解決方法還是預編譯的方式。 GPC/runtime魔術

PHP Taint 一個用來檢測 XSS/SQL/Shell 注入漏洞的擴充套件

什麼是Taint ? An extension used for detecting XSS codes(tainted string), And also can be used to spot sql injection vulnerabilities, s

簡單的 php 注入跨站 函式

/** * 簡單的 php 防注入、防跨站 函式 * @return String */ function fn_safe($str_string) { //直接剔除 $_arr_dangerChars = array( "|", ";", "$"

PHP防止被xss和sql語句注入攻擊的方法(網站和app通用)

傳過來的引數 如果是整數型別 那就直接用intval函式轉化為整數 字串 那就要用函數了 注意輸入的內容htmlspecialchars過濾程式碼如下 // Anti_SQL Injection, escape quotes function filter($content

SQL注入系列之PHP+Mysql手動注入(一)----數字型

1.常見的幾種SQL注入 1.數字型 2.字元型 3.文字型 4.搜尋型(POST/GET) 5.cookie注入 6.SQL盲注 7.編碼注入 8.寬位元組注入 2.測試原始碼 頁面原

通用的PHP注入漏洞攻擊的過濾函式程式碼

<?PHP  //PHP整站防注入程式,需要在公共檔案中require_once本檔案 //判斷magic_quotes_gpc狀態 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = se