首頁 > 後端開發 > PHP問題 > php防sql注入原理

php防sql注入原理

(*-*)浩
發布: 2023-02-27 19:00:02
原創
2517 人瀏覽過

sql注入:就是透過把SQL指令插入到Web表單遞交或輸入網域或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL指令。

php防sql注入原理

預處理語句針對SQL注入是非常有用的,因為參數值發送後使用不同的協議,保證了資料的合法性。預處理看作是想要運行的SQL的一種編譯過的模板,它可以使用變數參數來客製化。 (推薦學習:PHP影片教學

防禦方法一

mysql_real_escape_string – 轉義SQL 語句中使用的字串中的特殊字符,並考慮到連接的當前字符集

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";
登入後複製

方法二:

#開啟magic_quotes_gpc來防止SQL注入。 php.ini中有一個設定:magic_quotes_gpc =

Off這個預設是關閉的,如果它打開後將自動把用戶提交對sql的查詢進行轉換,比如把' 轉為'等,對於防止sql注射有重大作用。

如果magic_quotes_gpc=Off,則使用addslashes()函式。

方法三:

自訂函數

function check_param($value=null) { 
 #select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile
$str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
if(!$value) {
        exit('没有参数!'); 
    }elseif(eregi($str, $value)) { 
        exit('参数非法!');
    } return true; 

} 
function str_check( $value ) {
   if(!get_magic_quotes_gpc()) { 
   // 进行过滤 
   $value = addslashes($value); 
   } 
   $value = str_replace("_", "\_", $value); 
  $value = str_replace("%", "\%", $value); 
   return $value; 

} 
function post_check($value) { 
        if(!get_magic_quotes_gpc()) {
    
  // 进行过滤  
            $value = addslashes($value);
        } 
        $value = str_replace("_", "\_", $value); 
        $value = str_replace("%", "\%", $value); 
        $value = nl2br($value); 
        $value = htmlspecialchars($value); 
        return $value; 
    }
登入後複製

以上是php防sql注入原理的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
php
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板