MySQL與SQL注入與防注入的方法
所謂SQL注入,就是透過把SQL指令插入到Web表單遞交或輸入網域或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL指令。
我們永遠不要信任使用者的輸入,我們必須認定使用者輸入的資料都是不安全的,我們都需要對使用者輸入的資料進行過濾處理。
# 1.以下實例中,輸入的使用者名稱必須為字母、數字及底線的組合,且使用者名稱長度為 8 到 20 個字元之間:
1 2 3 4 5 6 7 8 9 |
|
讓我們看下在沒有過濾特殊字元時,出現的SQL情況:
1 2 3 |
|
以上的注入語句中,我們沒有對 $name 的變數進行過濾,$name 中插入了我們不需要的SQL語句,將刪除 users 表中的所有資料。
2.在PHP中的 mysql_query() 是不允許執行多個SQL語句的,但是在 SQLite 和 PostgreSQL 是可以同時執行多條SQL語句的,所以我們對這些使用者的資料需要進行嚴格的驗證。
# 防止SQL注入,我們需要注意以下幾個重點:
#
1.永遠不要信任使用者的輸入。對使用者的輸入進行校驗,可以透過正規表示式,或限制長度;對單引號和 雙"-"進行轉換等。
2.絕對不要使用動態拼裝sql,可以使用參數化的sql或直接使用預存程序進行資料查詢存取。
3.永遠不要使用管理員權限的資料庫連接,為每個應用程式使用單獨的權限有限的資料庫連接。
4.不要把機密資訊直接存放,加密或hash掉密碼和敏感的資訊。
5.應用的異常資訊應該給予盡可能少的提示,最好使用自訂的錯誤訊息對原始錯誤訊息進行包裝
6.sql注入的偵測方法一般採取輔助軟體或網站平台偵測,軟體一般採用sql注入偵測工具jsky,網站平台有億思網站安全平台偵測工具。 MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防禦SQL注入,XSS攻擊等。
3.防止SQL注入
# 在腳本語言,如Perl和PHP你可以對使用者輸入的資料進行轉義從而來防止SQL注入。
PHP的MySQL擴充提供了mysql_real_escape_string()函數來轉義特殊的輸入字元。
1 2 3 4 5 6 |
|
4.Like語句中的注入
like查詢時,如果使用者輸入的值有"_"和"%",則會出現這種情況:使用者本來只是想查詢"abcd_",查詢結果中卻有"abcd_"、"abcde"、"abcdf"等等;用戶要查詢"30%"(註:百分之三十)時也會出現問題。
在PHP腳本中我們可以使用addcslashes()函數來處理以上情況,如下實例:
1 2 3 |
|
addcslashes()函數在指定的字元前面加上反斜線。
語法格式:
# addcslashes(string,characters)
# 參數 描述
string 必需。規定要檢查的字串。
characters 可選。規定受 addcslashes() 影響的字元或字元範圍。
以上是MySQL與SQL注入與防注入的方法的詳細內容。更多資訊請關注PHP中文網其他相關文章!

熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

記事本++7.3.1
好用且免費的程式碼編輯器

SublimeText3漢化版
中文版,非常好用

禪工作室 13.0.1
強大的PHP整合開發環境

Dreamweaver CS6
視覺化網頁開發工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

MySQL在Web應用中的主要作用是存儲和管理數據。 1.MySQL高效處理用戶信息、產品目錄和交易記錄等數據。 2.通過SQL查詢,開發者能從數據庫提取信息生成動態內容。 3.MySQL基於客戶端-服務器模型工作,確保查詢速度可接受。

InnoDB使用redologs和undologs確保數據一致性和可靠性。 1.redologs記錄數據頁修改,確保崩潰恢復和事務持久性。 2.undologs記錄數據原始值,支持事務回滾和MVCC。

MySQL与其他编程语言相比,主要用于存储和管理数据,而其他语言如Python、Java、C 则用于逻辑处理和应用开发。MySQL以其高性能、可扩展性和跨平台支持著称,适合数据管理需求,而其他语言在各自领域如数据分析、企业应用和系统编程中各有优势。

MySQL索引基数对查询性能有显著影响:1.高基数索引能更有效地缩小数据范围,提高查询效率;2.低基数索引可能导致全表扫描,降低查询性能;3.在联合索引中,应将高基数列放在前面以优化查询。

MySQL的基本操作包括創建數據庫、表格,及使用SQL進行數據的CRUD操作。 1.創建數據庫:CREATEDATABASEmy_first_db;2.創建表格:CREATETABLEbooks(idINTAUTO_INCREMENTPRIMARYKEY,titleVARCHAR(100)NOTNULL,authorVARCHAR(100)NOTNULL,published_yearINT);3.插入數據:INSERTINTObooks(title,author,published_year)VA

MySQL適合Web應用和內容管理系統,因其開源、高性能和易用性而受歡迎。 1)與PostgreSQL相比,MySQL在簡單查詢和高並發讀操作上表現更好。 2)相較Oracle,MySQL因開源和低成本更受中小企業青睞。 3)對比MicrosoftSQLServer,MySQL更適合跨平台應用。 4)與MongoDB不同,MySQL更適用於結構化數據和事務處理。

InnoDBBufferPool通過緩存數據和索引頁來減少磁盤I/O,提升數據庫性能。其工作原理包括:1.數據讀取:從BufferPool中讀取數據;2.數據寫入:修改數據後寫入BufferPool並定期刷新到磁盤;3.緩存管理:使用LRU算法管理緩存頁;4.預讀機制:提前加載相鄰數據頁。通過調整BufferPool大小和使用多個實例,可以優化數據庫性能。

MySQL通過表結構和SQL查詢高效管理結構化數據,並通過外鍵實現表間關係。 1.創建表時定義數據格式和類型。 2.使用外鍵建立表間關係。 3.通過索引和查詢優化提高性能。 4.定期備份和監控數據庫確保數據安全和性能優化。
