PHP防止sql注入-JS注入 - PHP编程经验-OStack程序员社区-中国程序员成长平台

设为首页
点击收藏
手机版

手机扫一扫访问
迪恩网络手机版
关注官方公众号

微信扫一扫关注
公众号

登陆注册

快速发帖
客服电话

点击联系客服
在线时间：8:00-16:00

客服电话

132-9538-2358

电子邮件
[email protected]
APP下载

迪恩网络APP

随时随地掌握行业动态
官方微信

扫描二维码

关注迪恩网络微信公众号
问题反馈
返回顶部

OStack程序员社区-中国程序员成长平台 › 门户 › 编程› PHP›PHP编程经验

PHP防止sql注入-JS注入

原作者: [db:作者] 来自: [db:来源] 收藏邀请

一：为了网站数据安全，所有和数据库操作的相关参数必须做相关过滤，防止注入引起的网站中毒和数据泄漏

1.PHP自带效验函数

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

受影响的字符串:\x00、\n、\r、\、'、"、\x1a

==>攻击实例

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不检查用户名和密码
// 可以是用户输入的任何内容，比如：
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";


mysql_close($con);
?>

上面代码的结果是：SELECT * FROM users WHERE user='john' AND password='' OR ''=''。这就意味着不用密码可以自由登入系统。

==>简单的参数效验

 1 <?php
 2 function check_input($value)
 3 {
 4 // 去除斜杠
 5 if (get_magic_quotes_gpc())
 6   {
 7   $value = stripslashes($value);
 8   }
 9 // 如果不是数字则加引号
10 if (!is_numeric($value))
11   {
12   $value = "'" . mysql_real_escape_string($value) . "'";
13   }
14 return $value;
15 }
16 
17 $con = mysql_connect("localhost", "hello", "321");
18 if (!$con)
19   {
20   die('Could not connect: ' . mysql_error());
21   }
22 
23 // 进行安全的 SQL
24 $user = check_input($_POST['user']);
25 $pwd = check_input($_POST['pwd']);
26 $sql = "SELECT * FROM users WHERE
27 user=$user AND password=$pwd";
28 
29 mysql_query($sql);
30 
31 mysql_close($con);
32 ?>

==>防止js注入

例如：http://url?act="<script>XXXXXX</script>",要确保参数的正确性，我们需要过滤掉PHP标签

 1 <?php
 2 function check_input($value)
 3 {
 4 // 去除斜杠
 5 if (get_magic_quotes_gpc())
 6   {
 7   $value = stripslashes($value);
 8   }
 9 
10 //过滤掉html标签
11 $value = strip_tags($value);
12 
13 // 如果不是数字则加引号
14 if (!is_numeric($value))
15   {
16   $value = "'" . mysql_real_escape_string($value) . "'";
17   }
18 return $value;
19 }
20 
21 $con = mysql_connect("localhost", "hello", "321");
22 if (!$con)
23   {
24   die('Could not connect: ' . mysql_error());
25   }
26 
27 // 进行安全的 SQL
28 $user = check_input($_POST['user']);
29 $pwd = check_input($_POST['pwd']);
30 $sql = "SELECT * FROM users WHERE
31 user=$user AND password=$pwd";
32 
33 mysql_query($sql);
34 
35 mysql_close($con);
36 ?>

二：总结

　　要完全防止sql注入，我们要从源头上做起，接收到的参数可以控制参数类型，对参数进行转义等等，转义常用的有如下几种

　　A，用addslashes()函数转义。　　
　　B，用pdo对象的quote()方法：$pdo->quote($var);进行转义
　　C，在执行sql语句用prepare() 。$pdo->prepare($sql)，prepare()默认对变量进行转义的

该文章已有0人参与评论

请发表评论

全部评论

专题导读

10-27 六六分期app的软件客服如何联系？(六六分期

11-06 可心卡盟:win10系统火狐flash插件崩溃怎么

11-06 亲亲特价:怎么删除回收站图标

11-06 济南大学虚拟社区:鲁大师节能降温的具体办

11-06 xlueops.exe:无线网络安装向导

11-06 女斗合众国:win7系统cf与主机连接不稳定怎

11-06 0xc000022-[cf烟雾头]cf怎么调烟雾头

11-06 qizideyouhuo:应用程序无法正常启动0xc0000

11-06 ipz-185:win7系统vcf文件怎么打开

11-06 傻哥蹦迪:win10系统s4怎么打开usb调试

11-06 八神浩树gtaste:回收站清空了怎么恢复

11-06 妖尾之黑色守护:win10系统电脑没有1440x900

11-06 校园至尊魔王小说:win7系统浏览网页时字体

11-06 女斗合众国:win10系统访问共享文件夹提示请

11-06 tokyo hot n0654:恢复win7系统默认字体一招

11-06 雨酷仙境:设置win7系统转移临时文件夹腾出

11-06 阿穆纳伊之杖:win7系统开始菜单在右边还原

11-06 tunespotting:win10系统火狐flash插件总是

11-06 甘尔葛分析师：计谋网站seo关键词暴涨有什

11-06 蔡贵霖: 计谋网站seo关键词暴涨有什么秘密

11-06 博益网首页:ao3网页版进入不了解决方法

11-06 漏斗子专栏: 网站数据分析小白易懂精华篇

11-06 见证双虹怎么做:win7系统开启telnet命令的

11-06 颾狐蝶蜋:系统资源不足无法完成请求的服务

11-06 国光中学校歌:提交网站到alexa查询详细步骤

11-06 西安有情天:静态网页和动态网页的区别

11-06 红木雅尚斋:外部链接构造对网站的好处

11-06 前官礼遇：防止域名劫持–增强域安全性的10

11-06 密传二转答案: 中文分词算法有哪些

11-06 金泉家园邮编:百度快照劫持的表现及应对方

上一篇：

php7.3版本的环境配置发布时间：2022-07-10

下一篇：

PHP行为测试工具Codeception(介绍)发布时间：2022-07-10

热门推荐

热门话题

krishnaik06/Machine-Learning-in-90-days

armancodv/building-energy-model-matlab:

2022-08-17

美元符号为什么是“$”

2022-11-06

小程序裂变营销获客技巧，这几点你一定要知

2022-07-18

FGRibreau/import-tweets-to-mastodon: How

2022-08-17

openpaperwork/paperwork: Personal docume

2022-08-15

阅读排行榜

1 CVE-2022-22681

Session fixation vulnerability in access control management in Synology Photo St

阅读：945|2022-07-08

2 bluegill/katana:

bluegill/katana:

阅读：911|2022-08-18

3 NelsonUpenn/PMLS-MATLAB-Guide: MLguide1-

NelsonUpenn/PMLS-MATLAB-Guide: MLguide1-0.pdf: Nelson Dodson's Student'

阅读：324|2022-08-17

4 青岛中学艺术设计课程帮助学生树立全新思维

这几年，学校不仅关注学生的文化课知识，对于学生的艺术培养，也是非常重视的。毕竟，

阅读：351|2022-11-06

5 juleswhite/mobilecloud-15: Programming C

juleswhite/mobilecloud-15: Programming Cloud Services for Android Handheld Syste

阅读：461|2022-08-30

6 yosupo06/library-checker-problems: The p

yosupo06/library-checker-problems: The problem data (Test case generator, judge

阅读：531|2022-08-15

7 athos/Bigmouth: Clojure framework to bui

athos/Bigmouth: Clojure framework to build delivery-only Mastodon-compatible web

阅读：869|2022-08-17

8 开洗车店怎么样？20元洗一辆车有利润吗

现在汽车行业生意红火，当然，汽车的相关投资项目，市场前景都是很不错的，那么，开洗

阅读：231|2022-11-06

9 CVE-2022-36686

Ingredients Stock Management System v1.0 was discovered to contain a SQL injecti

阅读：506|2022-09-18

10 微信小程序|没有授权合法域名时如何操作

在使用微信小程序开发者工具进行开发需要使用数据库内的内容而发送网络请求却没有配置

阅读：820|2022-07-18

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服（服务时间 9:00～18:00）

在线QQ客服

地址：深圳市南山区西丽大学城创智工业园

电邮：jeky_zhao#qq.com

移动电话：139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap