php網站如何防止sql注入？

     網站的運作安全肯定是每個站長必須考慮的問題，大家知道，大多數駭客攻擊網站都是採用sql注入，這就是我們常說的為什麼   ？

     最原始的靜態的網站反而是最安全的。今天我們講講PHP注入的安全規範，並防止自己的網站被sql注入。

如今主流的網站開發語言還是php，那我們就從php網站如何防止sql注入開始說起：

Php注入的安全防範透過上面的過程，我們可以了解到php注入的原理和手法，當然我們也同樣可以發展出相應該的防範方法：
首先是伺服器的安全設置，這裡主要是php+mysql的安全設定和linux主機的安全設定。對php+mysql注射的防範,首先將magic_quotes_gpc設定為On，display_errs設定為Off，如果id型，我們利用intval()將其轉換成整數類型，如程式碼：



$idintval($id);
mysql_query”*fromexamplewherearticieid’$id’”;或這樣寫：mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")
如果是字元型就用addslashes()過濾一下，然後再過濾”%”和”_”如：
$searchaddslashes($search);
$searchstr_replace(“_”,”_”,$search);
$searchstr_replace(“%”,”%”,$search);
當然也可以加php通用防注入程式碼：
/*************************
PHP通用防注入安全程式碼
說明：
判斷傳遞的變數是否含有非法字元
如$_POST、$_GET
功能：
防注入

**************************/
//要過濾的非法字元
$ArrFiltratearray(”'”,”;”,”union”);
/ /出錯後要跳轉的url,不填則預設前一頁
$StrGoUrl”";
//是否存在數組中的值
functionFunStringExist($ StrFiltrate,$ArrFiltrate){
feach($ArrFiltrateas$key>$value){
if(eregi($value,$StrFiltrate)){
returnreturn

}

}

returnfalse;

}

//合併$_POST和$_GET

$ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{
$ArrPostAndGet[]$value;
}
feach($HTTP_GET_VARSas$key>$value){
$ArrostAndPostAnd]$value >}

}

//驗證開始

feach($ArrPostAndGetas$key>$value){

if(FunStringExist($ value,$ArrFiltrate)){

echo“alert(/”Neeao提示，非法字元/”);”;

if(empty($StrGoUrl)){

echo“histy.go(-1);”;

}else{

echo“window.location/”".$StrGoUrl.”/”;”;

}

exit;

}

}

?>

/********** ***************

複製程式碼

本主題由 小貝 於 2015-9-20 13:05 解除置頂