PHP WebサイトでのSQLインジェクションを防ぐにはどうすればよいですか?-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP WebサイトでのSQLインジェクションを防ぐにはどうすればよいですか?

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2016 am 09:13 AM

Web サイトの運用セキュリティは、すべての Web マスターが考慮すべき問題であることは間違いありません。ご存知のとおり、ほとんどのハッカーは SQL インジェクションを使用して Web サイトを攻撃します。

最もオリジナルな静的 Web サイトが最も安全です。今日は、Web サイトへの SQL インジェクションを防ぐための PHP インジェクションのセキュリティ仕様について説明します。

現在、主流の Web サイト開発言語は依然として PHP であるため、PHP Web サイトでの SQL インジェクションを防ぐ方法から始めましょう:

Php インジェクションのセキュリティ防止上記のプロセスを通じて、Php インジェクションの原理と技術を理解することができます。もちろん、対応する防止方法も開発できます。 1 つ目はサーバーのセキュリティ設定です。ここでは主に php+mysql のセキュリティ設定と Linux ホストのセキュリティ設定を説明します。 php+mysql インジェクションを防ぐには、コードに示すように、最初に magic_quotes_gpc を On に設定し、display_errs を Off に設定します。id 型の場合は、intval() を使用して整数型に変換します。

$idintval($id);
mysql_query”*fromexamplewherearticieid’$id’”; または、次のように記述します: mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).””)
文字タイプの場合は、addslashes() を使用してフィルターし、次に「%」と「_」をフィルターします。
$searchaddslashes($search);
$searchstr_replace("_","_",$search);
$searchstr_replace(“%”,”%”,$search);
もちろん、PHP ユニバーサルアンチインジェクションコードを追加することもできます:
/*****************************
PHP ユニバーサルアンチインジェクションセキュリティコード
説明:
渡された変数に不正な文字が含まれているかどうかを判断します
$_POST、$_GET など
機能:
注射反対

****************************/

//フィルタリングされる不正な文字
$ArrFiltratearray("'",";","union");
//エラーが発生した場合にリダイレクトされる URL未入力デフォルトの前ページ
$StrGoUrl"";
//配列に値があるかどうか
functionFunStringExist($StrFiltrate,$ArrFiltrate){
feach($ArrFiltrateas$key>$value){
if(eregi ($value,$StrFiltrate)){
returntrue;
}
}
returnfalse;
}
//$_POSTと$_GETをマージする
if(function_exists(array_merge)){
$ArrPostAndGetarray_ merge ($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
feach($HTTP_POST_VARSas$key>$value){
$ArrPostAndGet[]$value;
}
feach($HTTP_ GET_VARSas$ key>$value) {
$ArrPostAndGet[]$value;
}
}
//検証開始
feach($ArrPostAndGetas$key>$value){
if(FunStringExist($value,$) ArrFiltrate)){
echo "alert(/"Neeao プロンプト、不正な文字/");";
if(empty($StrGoUrl)){
echo "histy.go(-1);";
}else{
echo "window.location/"".$StrGoUrl."/";";
}
exit;
}
}
?>
/****** ***** ******************

コードをコピー

checkpostget.phpとして保存
次に、各 php ファイルの前に include("checkpostget.php"); を追加します。 ****************************/
さらに、管理者のユーザー名とパスワードは md5 で暗号化されているため、PHP インジェクションを効果的に防ぐことができます。
サーバーと mysql 上で強化する必要があるセキュリティ予防措置もいくつかあります。
Linuxサーバーのセキュリティ設定の場合:
パスワードを暗号化するには、「/usr/sbin/authconfig」ツールを使用してパスワードシャドウ機能をオンにし、パスワードを暗号化します。
重要なファイルへのアクセスを禁止するには、Linux コマンドインターフェイスに入り、プロンプトで次のように入力します:
#chmod600/etc/inetd.conf//ファイル属性を600に変更
#chattr+I /etc/inetd.conf // ファイル所有者が root であることを確認します
#chattr–I /etc/inetd.conf //このファイルへの変更を制限します
すべてのユーザーが su コマンドを通じて root ユーザーに変更することは禁止されています
su 設定ファイル、つまり /etc/pam.d/ ディレクトリの先頭に次の 2 行を追加します。十分な認証 /lib/security/pam_rootok.sodebug
認証が必要です /lib/security/pam_whell.sogroupwheel
特別なアカウントをすべて削除します
#userdel lp などユーザーを削除します
#groupdellpetc グループを削除します
未使用の suid/sgid プログラムを禁止します
#find/-typef(-perm-04000 -o–perm-02000)-execls–lg{};

http://hi.baidu.com/bigideaer/bl... 7e76e11a4cffd0.html

渡された変数に不正な文字が含まれているかどうかを確認するには、次のコードを security.inc.php などのパブリックファイルに追加します。このファイルを各ファイルに含めると、変数がフィルタリングされた後に、任意のプログラムに送信されたすべてのファイルを実行できます。、効果を一度に達成します。

簡単な説明: /***************************
説明:
渡された変数に不正な文字が含まれているかどうかを判断します
$_POST、$_GET など
機能: 抗注射
**************************/

コードは次のとおりです:

//フィルタリングされる不正な文字
$ArrFiltratearray("",";","union");
//リダイレクトされる URLエラーの後、入力されていない場合は、デフォルトで前のページに戻ります
$StrGoUrl""
//配列に値があるかどうか
functionFunStringExist($StrFiltrate,$ArrFiltrate){
feach( $ArrFiltrateas$key>$value){

if(eregi($value,$StrFiltrate)){

returntrue;

}

returnfalse;

//$ をマージします_POSTと$_GET

if(function_exists( array_merge) ){

$ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS)

} else{

feach($HTTP_POST_VARSas$key>$value){

$ArrPostAndGet[ ]$値;

}
feach($HTTP_GET_VARSas $key>$value){

$ArrPostAndGet[]$value;

}

feach($ArrPostAndGetas$key&g) t;$値){

if(FunStringExist($ value,$ArrFiltrate)){

echo"";

if(emptyempty($) StrGoUrl)){

echo"";

}else{

echo"";

}

exit;

}

}

?>

コードをコピーします

checkpostget として保存.php
次に、各 php ファイルの前に include("checkpostget.php"); を追加します。

方法 2

コードは次のとおりです:

/*すべての GET 変数をフィルターします*/
feach($_GETas$get_key>$get_var)

{
if(is_numeric($get_var)){
$get[strtower ($ get_key)]get_int($get_var);

}else{
$get[strto lower($get_key)]get_str($get_var);

}

}

/*すべての POST 変数をフィルタリングします* /

feach($_POSTas$post_key>$post_var)

{

if(is_numeric($post_var)){

$post[strto lower($post_key)]get_int($post_var);

}else{

$post[strto lower($post_key)]get_str($post_var);

}

}

/*フィルター関数*/

//整数フィルター関数

functionget_int($number)

{

returnintval($number);

}

//文字列フィルター関数

functionget_str($string)

{

if(!get_magic_quotes_gpc()){

returnaddslashes($string);

return$string;

}

コードをコピー

一つ目はデータをエスケープする方法です

2 番目のメソッドは別のファイルに記述され、すべての PHP ファイルにインポートされます

各データをエスケープできます

関数追加スラッシュ($string){

if(is_array($string)){

feach($stringas$key>$val){

$string[$key]saddslashes($val);

}

}その他{

$stringaddslashes($string);

}

$string を返します;

}

############################################## ## #############

$magic_quoteget_magic_quotes_gpc();

if(空($magic_quote)){

$_GETslashes を追加($_GET);

$_POSTsaddslashes($_POST);

}

このトピックは、2015-9-20 13:05 に Xiaobei によって固定が解除されました

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

ホットトピック

Gmailメールのログイン入り口はどこですか？

7475

CakePHP チュートリアル

1377

Steamのアカウント名の形式は何ですか

Win11 Activation Key Permanent

NYTの接続はヒントと回答です

Related knowledge

Laravelでフラッシュセッションデータを使用します Mar 12, 2025 pm 05:08 PM

Laravelは、直感的なフラッシュメソッドを使用して、一時的なセッションデータの処理を簡素化します。これは、アプリケーション内に簡単なメッセージ、アラート、または通知を表示するのに最適です。データは、デフォルトで次の要求のためにのみ持続します。 $リクエスト -

PHPのカール：REST APIでPHPカール拡張機能を使用する方法 Mar 14, 2025 am 11:42 AM

PHPクライアントURL（CURL）拡張機能は、開発者にとって強力なツールであり、リモートサーバーやREST APIとのシームレスな対話を可能にします。尊敬されるマルチプロトコルファイル転送ライブラリであるLibcurlを活用することにより、PHP Curlは効率的なexecuを促進します

Alipay PHP SDK転送エラー：「クラスの看板を宣言できない」という問題を解決する方法は？ Apr 01, 2025 am 07:21 AM

Alipay Php ...

Laravelテストでの簡略化されたHTTP応答のモッキング Mar 12, 2025 pm 05:09 PM

Laravelは簡潔なHTTP応答シミュレーション構文を提供し、HTTP相互作用テストを簡素化します。このアプローチは、テストシミュレーションをより直感的にしながら、コード冗長性を大幅に削減します。基本的な実装は、さまざまな応答タイプのショートカットを提供します。 Illuminate \ support \ facades \ httpを使用します。 http :: fake（[[ 'google.com' => 'hello world'、 'github.com' => ['foo' => 'bar']、 'forge.laravel.com' =>

Codecanyonで12の最高のPHPチャットスクリプト Mar 13, 2025 pm 12:08 PM

顧客の最も差し迫った問題にリアルタイムでインスタントソリューションを提供したいですか？ライブチャットを使用すると、顧客とのリアルタイムな会話を行い、すぐに問題を解決できます。それはあなたがあなたのカスタムにより速いサービスを提供することを可能にします

PHPにおける後期静的結合の概念を説明します。 Mar 21, 2025 pm 01:33 PM

記事では、PHP 5.3で導入されたPHPの後期静的結合（LSB）について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ

フレームワークセキュリティ機能：脆弱性から保護します。 Mar 28, 2025 pm 05:11 PM

記事では、入力検証、認証、定期的な更新など、脆弱性から保護するためのフレームワークの重要なセキュリティ機能について説明します。

JSON Web Tokens（JWT）とPHP APIでのユースケースを説明してください。 Apr 05, 2025 am 12:04 AM

JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。

See all articles