php_PHP チュートリアルでインジェクションを防ぐいくつかの方法

phpチュートリアルのインジェクションを防ぐいくつかの方法

実際、次のような一般的なキーワードと一致の一部をフィルタリングする必要があることがわかりました。

選択、挿入、更新、削除、* など

例:

関数 inject_check($sql_str) {

return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file
|outfile', $sql_str) // フィルター
}

またはシステム関数間で特殊記号をフィルタリングします

スラッシュを追加します（フィルタリングが必要なコンテンツ）

2. 他の場所での PHP セキュリティ設定

1. Register_globals = off がオフに設定されます

2. SQL ステートメントを記述するときは、小さな引用符や一重引用符を省略しないようにしてください

select * from table where id=2 (標準化されていない)

select * from ·table · where ·id ·=’2’ (標準)

3. $_post $_get $_session などを正しく使用してパラメータを受け入れ、フィルタリングします

4. データベースチュートリアルでの命名スキルを向上させるため、プログラムの特性に応じていくつかの重要なフィールドに名前を付けることができます。

5. SQL ステートメントの直接公開を避けるために一般的なメソッドをカプセル化する

http://www.bkjia.com/PHPjc/629718.html

www.bkjia.com本当http://www.bkjia.com/PHPjc/629718.html技術記事 PHP チュートリアルでのインジェクションを防ぐいくつかの方法は、実際には、一般的なキーワードと一致 (select、insert、update、delete、* など) の一部をフィルタリングする必要があることが判明しました。 例:...