Ⅰ ThinkPHP如何防止sql注入
(1)查询条件尽量使用数组方式,这是更为安全的方式;
(2)如果不得已必须使用字符串查询条件,使用预处理机制;
(3)使用绑定参数;
(4)强制进行字段类型验证,可以对数值数据类型做强制转换;
(5)使用自动验证和自动完成机制进行针对应用的自定义过滤;
(6)使用字段类型检查、自动验证和自动完成机制等避免恶意数据的输入;
(7)做一些过滤。
Ⅱ PHP怎么防止sql注入
如果是字符串类型:addslashes() 这个函数,转义单双引号;
如果接收的参数属于整数型(id之类):intval() 直接取出数字,丢弃后边的非数字字符;
或者使用PDO预处理语句,绑定参数的方式防止SQL注入。
Ⅲ php如何防止sql注入
额,这是我老师给的答案x0dx0a x0dx0a答:过滤一些常见的数据库操作关键字,x0dx0a select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤x0dx0aphp配置文件中register_globals=off;设置为关闭状态.(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值x0dx0asql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号x0dx0a提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中x0dx0a对于常的方法加以封装,避免直接暴漏SQL语句x0dx0a开启PHP安全模式safe_mode=onx0dx0a打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"x0dx0a控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志x0dx0a使用MYSQLI或PDO预处理
Ⅳ php如何防止sql注入
这个方法比较多,这里简单举个例子:
提交的变量中所有的
'
(单引号),
"
(双引号),
\
(反斜线)
and
空字符会自动转为含有反斜线的转义字符,给SQL注入带来不少的麻烦。
请看清楚:“麻烦”而已~这并不意味着PHP防范SQL注入,书中就讲到了利用改变注入语句的编码来绕过转义的方法,比如将SQL语句转成ASCII编码(类似:char(100,58,92,108,111,99,97,108,104,111,115,116…)这样的格式),或者转成16进制编码,甚至还有其他形式的编码,这样以来,转义过滤便被绕过去了
//
去除转义字符
function stripslashes_array($array) {
if (is_array($array)) {
foreach ($array as $k => $v) {
$array[$k] = stripslashes_array($v);
}
}
else if (is_string($array)) {
$array = stripslashes($array);
} return $array;
}
@set_magic_quotes_runtime(0); // 判断 magic_quotes_gpc 状态
if (@get_magic_quotes_gpc()) {
$_GET = stripslashes_array($_GET);
$_POST = stripslashes_array($_POST);
$_COOKIE = stripslashes_array($_COOKIE);
}PHP防范SQL注入的代码
$keywords = addslashes($keywords); $keywords =
str_replace("_","\_",$keywords);//转义掉”_” $keywords =
str_replace("%","\%",$keywords);//转义掉”%”
Ⅳ php怎么实现SQL防注入的方法
可以通过占位的方法防注入
$pdo = new PDO("mysql:host=localhost;dbname=XXXX","root","");
$query = "INSERT INTO 数据表名(XXX,XXX,XXX) VALUES(?,?,?)";
$stmt = $pdo->prepare($query);
$stmt -> execute(array("张三","李四","王五"));
Ⅵ 浅谈:在PHP中该怎样防止SQL注入
使用预处理语句和参数化查询。
禁止使用拼接sql语句,和参数类型验证,就可以完全避免sql注入漏洞!
预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:
1、使用PDO:
$stmt=$pdo->prepare('SELECT*FROMemployeesWHEREname=:name');
$stmt->execute(array('name'=>$name));
foreach($stmtas$row){
//dosomethingwith$row
}2、使用mysqli:
$stmt=$dbConnection->prepare('SELECT*FROMemployeesWHEREname=?');
$stmt->bind_param('s',$name);
$stmt->execute();
$result=$stmt->get_result();
while($row=$result->fetch_assoc()){
//dosomethingwith$row
}
Ⅶ php防止sql注入简单分析
本文实例分析了php防止sql注入简单方法。分享给大家供大家参考。具体如下:
这里只说一个简单的方法
防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式
直接看high级别的就可以了
$id
=
$_GET['id'];
$id
=
stripslashes($id);
$id
=
mysql_real_escape_string($id);
if
(is_numeric($id)){
$getid
=
"SELECT
first_name,last_name
FROM
users
WHERE
user_id='$id'";
$result
=
mysql_query($getid)
or
die('<pre>'.mysql_error().'</pre>');
$num
=
mysql_numrows($result);
可见它的处理方式是首先通过
stripslashes
函数删除变量中的反斜杠
\,
然后再使用函数mysql_real_escape_string
转义特殊字符就行了。
所以当我们编写类似代码的时候
$getid="SELECT
first_name,last_name
FROM
users
WHERE
user_id='$id'";
我们最简单的方法是
直接将变量$id
进行stripslashes
和
mysql_real_escape_string
处理。
注意:
这里并不是说这样就安全了,
这只是其中一种方式我可没说这就安全了。
更多的还要依据实际情况进行处理。
希望本文所述对大家的php程序设计有所帮助。
Ⅷ PHP要怎么防止SQL注入
防止注入最简单的办法就是本地生成html文件,然后上传到网站空间内,全站的html是无法被注入攻击的,除非服务器被干掉。如果一定要将php代码放到网站上,那么需要防止的内容就要做的很多了,其中最重要的一条就是书写代码的规范程度,以及对用户提交的验证规范。如果用到专门的cms去做网站的话,一定要定时下载升级,并到相关的官方论坛及一些白客站点查看最新漏洞源码信息,加以改正,可以有效的防止注入攻击。
在注册时防止注入,其实最主要的一条就是在写入、查询数据库之前完成对用户录入数据的验证。具体如何验证可以网络搜索一下