便宜VPS网浅谈:在PHP中该怎样防止SQL注入
注入式攻击的类型可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。
防止 SQL 注入的方式 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。
简单的SQL注入示例例如,A有一个银行网站。已为银行客户提供了一个网络界面,以查看其帐号和余额。您的银行网站使用http://example.com/get_account_details.php?account_id=102等网址从数据库中提取详细信息。
在PHP中全面阻止SQL注入式攻击
简单的SQL注入示例例如,A有一个银行网站。已为银行客户提供了一个网络界面,以查看其帐号和余额。您的银行网站使用http://example.com/get_account_details.php?account_id=102等网址从数据库中提取详细信息。
这是最简单直接的一种方式,当然低版本的PHP一般不支持PDO方式去操作,那么就只能采用其它方式。采用escape函数过滤非法字符。escape可以将非法字符比如 斜杠等非法字符转义,防止sql注入,这种方式简单粗暴,但是不太建议这么用。
预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。
如果是字符串类型:addslashes() 这个函数,转义单双引号;如果接收的参数属于整数型(id之类):intval() 直接取出数字,丢弃后边的非数字字符;或者使用PDO预处理语句,绑定参数的方式防止SQL注入。
ThinkPHP如何防止SQL注入?
1、主要的sql注入来源于数据请求。比如表单的提交。攻击者会在请求中带上一些可执行的sql语句。达到注入的目的。Thinkphp内置了数据过滤机制。可以有效的将一些存在风险的符号过滤处理。
2、使用PDO防注入。这是最简单直接的一种方式,当然低版本的PHP一般不支持PDO方式去操作,那么就只能采用其它方式。采用escape函数过滤非法字符。
3、而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
4、从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入,可以在接受不安全空间的内容时过滤掉接受字符串内的“”,那么他不再是一条sql语句,而是一个类似sql语句的zifuc,执行后也不会对数据库有破坏。
5、DSKMS等等,基于此类产品开发可以大大加快开发速度,让项目迅速上线,同时Thinkphp框架可直接升级。一般情况下我们在自己开发的过程中,需要注意PHP安全方面的知识,以下就说一下常见安全问题。
6、[ ThinkPHP SQL注入安全漏洞补丁 ]该补丁修正框架中一处可能导致SQL注入的地方,在开发者没有合理使用I函数进行过滤的情况下可能导致SQL注入,请及时更新。
