简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

インジェクションに対する PHP セキュリティの詳細な紹介_PHP チュートリアル

WBOY
リリース: 2016-07-13 17:10:29
オリジナル
941 人が閲覧しました

Web 上でデータを送信するには 2 つの方法があることはわかっています。1 つは get で、もう 1 つは post です。そのため、一般的な SQL インジェクションの多くは get メソッドから始まり、SQL がないため、インジェクション ステートメントにはいくつかの SQL ステートメントが含まれている必要があります。 SQL ステートメントには次の 4 つの主要な文があります。 選択、更新、削除、挿入

では、送信するデータをフィルタリングすれば、これらの問題を回避できるでしょうか?
したがって、正規表現を使用して次の関数を構築します:

コードは次のとおりです コードをコピー

/*
関数名: inject_check()
機能: 送信された値に SQL インジェクション文字が含まれているかどうかを検出し、インジェクションを防止し、サーバーのセキュリティを保護します
パラメータ: $sql_str: 送信された変数
戻り値: 検出結果をtrueまたはfalseで返します
関数作成者: heiyeluren
*/

関数 inject_check($sql_str)

{

return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // フィルター

}


私たちの関数では、select、insert、update、delete、union、into、load_file、outfile /*、./、../、' などの危険なパラメーター文字列をすべてフィルターで除外し、送信されたファイルを制御できます。パラメータを使用すると、プログラムは次のように構築できます:


URL を a.php?id=1 として送信すると、プロンプトが表示されます:
「提出されたデータは合法です。続行してください。」
a.php?id=1%27 select * from tb_name
を送信する場合 「送信したデータは違法です。確認して再送信してください。」というプロンプトが表示されます

これで要件は満たされます。

ただし、問題はまだ解決されていません。a.php?id=1asdfasdfasdf を送信すると、上記のルールに準拠していますが、要件を満たしていないため、他の状況を考慮して別のビルドを作成します。チェックする関数:

コードは次のとおりです コードをコピー

if (inject_check($_GET['id']))

{

exit('送信したデータは不正です。確認して再送信してください!');

}

その他

{

$id = $_GET['id']

echo '送信されたデータは合法です。続行してください。 ';

}

?>
コードは次のとおりです コードをコピー

/*
関数名: verify_id()
機能: 送信された ID 値が正当かどうかを検証します
パラメータ: $id: 送信されたID値
戻り値: 処理済みのIDを返します
関数作成者: heiyeluren
*/

関数 verify_id($id=null)

{

if (!$id) { exit('パラメータが送信されていません!' } // 空かどうかを判断します

;

elseif (inject_check($id)) { exit('提出されたパラメータが不正です!') } // インジェクション判定

;

elseif (!is_numeric($id)) { exit('提出されたパラメータが不正です!' } // 数値判定

;

$id = intval($id) // 整数化

$id を返す

}


はは、それでは検証を実行できるので、上記のプログラム コードは次のようになります:

if (inject_check($_GET['id']))

{

exit('送信したデータは不正です。確認して再送信してください!');

}

その他

{

$id = verify_id($_GET['id']); // $id をフィルターするためにフィルター関数がここで引用されています

echo '送信されたデータは合法です。続行してください。 ';

}

?>

さて、問題はここで解決されたように見えますが、郵送で送信されたデータ、つまり大量のデータについて考慮したことがありますか?
たとえば、「_」、「%」など、一部の文字はデータベースに悪影響を与える可能性があります。これらの文字は特別な意味を持っているため、これらを制御するとどうなるでしょうか。もう 1 つのポイントは、php.ini で magic_quotes_gpc = off の場合、データベース ルールに準拠していない送信されたデータの前に ' ' が自動的に付加されないことです。この場合、これらの問題を制御する必要があるため、次のように構築します。

コードは次のとおりですコードをコピー


OK、サーバーが侵害される危険は再び回避されました。

最後に、投稿や記事やニュースの作成など、大量のデータを送信する状況を考えてみましょう。上記の関数に基づいて、次の関数を構築します。

/*

関数名:str_check()
機能: 送信された文字列をフィルターします
パラメータ: $var: 処理する文字列
戻り値: フィルタリングされた文字列を返します
関数作成者: heiyeluren
*/

関数 str_check($str)

{

if (!get_magic_quotes_gpc()) // magic_quotes_gpc が開いているかどうかを判断します

{

$str = addlashes($str) // フィルター

}

$str = str_replace("_", "_", $str) // '_' を除外します

$str = str_replace("%", "%", $str) // '%' を除外します

$str を返す

}

コードは次のとおりですコードをコピー
/*

関数名:post_check()
機能: 送信された編集コンテンツを処理します
パラメータ: $post: 送信するコンテンツ
戻り値: $post: フィルターされたコンテンツを返します
関数作成者: heiyeluren
*/

関数 post_check($post)

{

if (!get_magic_quotes_gpc()) // magic_quotes_gpc が開いているかどうかを判断します

{

$post =addslashes($post); // magic_quotes_gpc がオンになっていない場合に送信されたデータをフィルタリングします

}

$post = str_replace("_", "_", $post) // '_' を除外します

$post = str_replace("%", "%", $post) // '%' を除外します

$post = nl2br($post) // 変換を入力します

$post= htmlspecialchars($post); // HTML タグ変換

$post を返す

}

http://www.bkjia.com/PHPjc/629656.htmlwww.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/629656.html技術記事 Web 上でデータを送信するには 2 つの方法があることがわかっています。1 つは get で、もう 1 つは post です。そのため、一般的な SQL インジェクションの多くは get メソッドから始まり、インジェクション ステートメントには...
関連ラベル:
get php post web 優れた 導入 安全性 私たち 提出する 方法 はい 注射 知る 詳しい
ソース:php.cn
前の記事:php intval() 10 進数のセキュリティ脆弱性分析_PHP チュートリアル 次の記事:PHPソースコードの暗号化方法プログラム_PHPチュートリアル
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!