社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
首頁 後端開發 php教程 php網站如何防止sql注入?

php網站如何防止sql注入?

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jul 25, 2016 am 09:13 AM
     網站的運作安全肯定是每個站長必須考慮的問題,大家知道,大多數駭客攻擊網站都是採用sql注入,這就是我們常說的為什麼   ?

     最原始的靜態的網站反而是最安全的。今天我們講講PHP注入的安全規範,並防止自己的網站被sql注入。

如今主流的網站開發語言還是php,那我們就從php網站如何防止sql注入開始說起:

Php注入的安全防範透過上面的過程,我們可以了解到php注入的原理和手法,當然我們也同樣可以發展出相應該的防範方法:
首先是伺服器的安全設置,這裡主要是php+mysql的安全設定和linux主機的安全設定。對php+mysql注射的防範,首先將magic_quotes_gpc設定為On,display_errs設定為Off,如果id型,我們利用intval()將其轉換成整數類型,如程式碼:



$idintval($id);
mysql_query”*fromexamplewherearticieid’$id’”;或這樣寫:mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")
如果是字元型就用addslashes()過濾一下,然後再過濾”%”和”_”如:
$searchaddslashes($search);
$searchstr_replace(“_”,”_”,$search);
$searchstr_replace(“%”,”%”,$search);
當然也可以加php通用防注入程式碼:
/*************************
PHP通用防注入安全程式碼
說明:
判斷傳遞的變數是否含有非法字元
如$_POST、$_GET
功能:
防注入
  1. **************************/
  2. //要過濾的非法字元
  3. $ArrFiltratearray(”'”,”;”,”union”);
  4. / /出錯後要跳轉的url,不填則預設前一頁
  5. $StrGoUrl”";
  6. //是否存在數組中的值
  7. functionFunStringExist($ StrFiltrate,$ArrFiltrate){
  8. feach($ArrFiltrateas$key>$value){
  9. if(eregi($value,$StrFiltrate)){
  10. return
    return

  11. }

  12. }

  13. returnfalse;

  14. }

  15. //合併$_POST和$_GET


  16. $ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

  17. }else{
  18. $ArrPostAndGet[]$value;
  19. }
  20. feach($HTTP_GET_VARSas$key>$value){
  21. $ArrostAndPostAnd]$value >
    }

  22. }

  23. //驗證開始

  24. feach($ArrPostAndGetas$key>$value){

  25. if(FunStringExist($ value,$ArrFiltrate)){

  26. echo“alert(/”Neeao提示,非法字元/”);”;

  27. if(empty($StrGoUrl)){

  28. echo“histy.go(-1);”;

  29. }else{

  30. echo“window.location/”".$StrGoUrl.”/”;”;

  31. }

  32. exit;

  33. }

  34. }

  35. ?>

  36. /********** ***************

  38. 複製程式碼
儲存為checkpostget.php
然後在每個php檔案前加include(“checkpostget.php“);即可
**************************/
另外將管理者使用者名稱和密碼都採取md5加密,這樣就能有效地防止了php的注入。
還有伺服器和mysql也要加強一些安全防範。
對於linux伺服器的安全設定:
加密口令,使用「/usr/sbin/authconfig」工具開啟密碼的shadow功能,對passwd進行加密。
禁止存取重要文件,進入linux指令介面,在提示下輸入:
#chmod600/etc/inetd.conf//改變檔案屬性為600
#chattr+I  /etc/inetd.conf   //保證文件屬主為root
#chattr–I  /etc/inetd.conf   //對該文件的變更做限制
禁止任何使用者透過su指令改變為root使用者
在su設定檔即/etc/pam.d/目錄下的開頭加入下面兩行:
Auth  sufficient  /lib/security/pam_rootok.sodebug
Auth  required  /lib/security/pam_whell.sogroupwheel
刪除所有的特殊帳號
#userdel  lp等等刪除使用者
#groupdellp等等刪除群組
禁止不使用的suid/sgid程式
#find/-typef(-perm-04000  -o–perm-02000)-execls–lg{};



http://hi.baidu.com/bigideaer/bl ... 7e76e11a4cffd0.html

判斷傳遞的變數中是否含有非法字元我們把以下程式碼放到一個公共的文件裡,例如security.inc.php裡面,每個檔案裡都include一下這個文件,那麼就能夠給任何一個程式進行提交的所有變數被過濾了,就達到了我們一勞永逸的效果。



簡述:/*************************
說明:
判斷傳遞的變數是否含有非法字元
如$_POST、$_GET
功能:防注入
**************************/

程式碼如下:

  3. //要過濾的非法字元
  4. $ArrFiltrate("""" ;","union");
  5. //出錯後要跳轉的url,不填則預設前一頁
  6. $StrGoUrl"";
  7. //是否存在陣列中的值
  8. functionFunStringExist($StrFiltrate,$ArrFiltrate){
  9. feach($ArrFiltrateas$key>$value){
  10. if ,$StrFiltrate)){
  11. returntrue;
  12. }
  13. }
  14. returnfalse;
  15. }
    returnfalse>

  16. }
  17. 🎜>
    //合併$_POST和$_GET

  18. if(function_exists(array_merge)){

  19. $ArrPostAndGetarray_merge($HTTP_POST_VARS,HTTP_POST_$HT); else{

  20. feach($HTTP_POST_VARSas$key>$value){

  21. $ArrPostAndGet[]$value;

  22. } $value){

  23. $ArrPostAndGet[]$value;

  24. }

  25. }


  27. }


  29. /驗證開始🎜>
  30. feach($ArrPostAndGetas$key>$value){
  31. if(FunStringExist($value,$ArrFiltrate)){
  32. echo"alert( "非法字元");";
  33. if(emptyempty($StrGoUrl)){
  34. echo"histy.go(-1);";
  35. }else{
  36. echo"window.location"".$StrGoUrl."";";
  37. }
  38. exit;
  39. }
  40. }
  41. ?>

  43. ?>
>
複製程式碼

儲存為checkpostget.php
然後在每個php檔案前加include(“checkpostget.php“);即可
方法2

程式碼如下:

  2. /*過濾所有GET過來變數*/
  3. feach($_GETas$get_key>$get_var)
  4. {
    {

  5. if(is_numeric($get_var)){

  6. $get[strtolower($get_key)]get_int($get_var);

  7. }else{
  8. $
    get [strtolower($get_key)]get_str($get_var);

  9. }

  10. }


  12. /*過濾所有POST過來的變數*/

  13. feach($_POSTas$post_key>$post_var)

  14. {

  15. if(is_numeric($post_var)){
  16. $post[strkeytoer( )]get_int($post_var);
  17. }else{
  18. $post[strtolower($post_key)]get_str($post_var);
  19. }

  20. }


  22. /*濾波函數*/

  23. //整型濾波函數

  24. functionget_int($number)

  25. {
  26. {
  27. returnintval($number);
  28. }
  29. //字串型過濾函數
  30. functionget_str($string)

  31. {

  32. if(!get_magic_quotes_gpc()){

  33. returnaddslashes($string);
}
return$string;
複製程式碼第一個是對資料進行轉義的方法

第二個方法寫在單獨的文件裡,引入每一個PHP檔案內

就可以實現對每一個資料進行轉義處理了

functionsaddslashes($string){

if(is_array($string)){

feach($stringas$key>$val){

  $string[$key]saddslashes($val);

}

}else{

$stringaddslashes($string);

}

return$string;

}





########################################################### ###############

$magic_quoteget_magic_quotes_gpc();

if(empty($magic_quote)){

$_GETsaddslashes($_GET);

$_POSTsaddslashes($_POST);

}

本主題由 小貝 於 2015-9-20 13:05 解除置頂


本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

顯示更多

熱門文章

<🎜>:種植花園 - 完整的突變指南
4 週前 By DDD
<🎜>:泡泡膠模擬器無窮大 - 如何獲取和使用皇家鑰匙
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
北端:融合系統,解釋
1 個月前 By 尊渡假赌尊渡假赌尊渡假赌
Mandragora:巫婆樹的耳語 - 如何解鎖抓鉤
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
<🎜>掩蓋:探險33-如何獲得完美的色度催化劑
2 週前 By 尊渡假赌尊渡假赌尊渡假赌
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

Java教學
1677
14
CakePHP 教程
1430
52
Laravel 教程
1333
25
PHP教程
1278
29
C# 教程
1257
24
顯示更多
Related knowledge
說明PHP中的安全密碼散列(例如,password_hash,password_verify)。為什麼不使用MD5或SHA1? 說明PHP中的安全密碼散列(例如,password_hash,password_verify)。為什麼不使用MD5或SHA1? Apr 17, 2025 am 12:06 AM

在PHP中,應使用password_hash和password_verify函數實現安全的密碼哈希處理,不應使用MD5或SHA1。1)password_hash生成包含鹽值的哈希,增強安全性。 2)password_verify驗證密碼,通過比較哈希值確保安全。 3)MD5和SHA1易受攻擊且缺乏鹽值,不適合現代密碼安全。

PHP類型提示如何起作用,包括標量類型,返回類型,聯合類型和無效類型? PHP類型提示如何起作用,包括標量類型,返回類型,聯合類型和無效類型? Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示:自PHP7.0起,允許在函數參數中指定基本數據類型,如int、float等。 2)返回類型提示:確保函數返回值類型的一致性。 3)聯合類型提示:自PHP8.0起,允許在函數參數或返回值中指定多個類型。 4)可空類型提示:允許包含null值,處理可能返回空值的函數。

PHP和Python:解釋了不同的範例 PHP和Python:解釋了不同的範例 Apr 18, 2025 am 12:26 AM

PHP主要是過程式編程,但也支持面向對象編程(OOP);Python支持多種範式,包括OOP、函數式和過程式編程。 PHP適合web開發,Python適用於多種應用,如數據分析和機器學習。

在PHP和Python之間進行選擇:指南 在PHP和Python之間進行選擇:指南 Apr 18, 2025 am 12:24 AM

PHP適合網頁開發和快速原型開發,Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發,語法簡單,適合快速開發。 2.Python語法簡潔,適用於多領域,庫生態系統強大。

PHP和Python:深入了解他們的歷史 PHP和Python:深入了解他們的歷史 Apr 18, 2025 am 12:25 AM

PHP起源於1994年,由RasmusLerdorf開發,最初用於跟踪網站訪問者,逐漸演變為服務器端腳本語言,廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發,1991年首次發布,強調代碼可讀性和簡潔性,適用於科學計算、數據分析等領域。

PHP和框架:現代化語言 PHP和框架:現代化語言 Apr 18, 2025 am 12:14 AM

PHP在現代化進程中仍然重要,因為它支持大量網站和應用,並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發,提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

為什麼要使用PHP?解釋的優點和好處 為什麼要使用PHP?解釋的優點和好處 Apr 16, 2025 am 12:16 AM

PHP的核心優勢包括易於學習、強大的web開發支持、豐富的庫和框架、高性能和可擴展性、跨平台兼容性以及成本效益高。 1)易於學習和使用,適合初學者;2)與web服務器集成好,支持多種數據庫;3)擁有如Laravel等強大框架;4)通過優化可實現高性能;5)支持多種操作系統;6)開源,降低開發成本。

PHP的影響:網絡開發及以後 PHP的影響:網絡開發及以後 Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

See all articles