亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PHP如何防范SQL注入

發布時間:2021-09-29 14:49:26 來源:億速云 閱讀:128 作者:小新 欄目:開發技術

這篇文章主要為大家展示了“PHP如何防范SQL注入”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“PHP如何防范SQL注入”這篇文章吧。

說到網站安全就不得不提到SQL注入(SQL Injection),如果你用過ASP,對SQL注入一定有比較深的理解,PHP的安全性相對較高,這是因為MYSQL4以下的版本不支持子語句,而且當php.ini里的 magic_quotes_gpc 為On 時。

提交的變量中所有的 ' (單引號), " (雙引號), \ (反斜線) and 空字符會自動轉為含有反斜線的轉義字符,給SQL注入帶來不少的麻煩。

請看清楚:“麻煩”而已~這并不意味著PHP防范SQL注入,書中就講到了利用改變注入語句的編碼來繞過轉義的方法,比如將SQL語句轉成ASCII編碼(類似:char(100,58,92,108,111,99,97,108,104,111,115,116…)這樣的格式),或者轉成16進制編碼,甚至還有其他形式的編碼,這樣以來,轉義過濾便被繞過去了,那么怎樣防范呢:

a. 打開magic_quotes_gpc或使用addslashes()函數

在新版本的PHP中,就算magic_quotes_gpc打開了,再使用addslashes()函數,也不會有沖突,但是為了更好的實現版本兼容,建議在使用轉移函數前先檢測magic_quotes_gpc狀態,或者直接關掉,代碼如下:

PHP防范SQL注入的代碼

復制代碼 代碼如下:


// 去除轉義字符  
function stripslashes_array($array) {  
if (is_array($array)) {  
foreach ($array as $k => $v) {  
$array[$k] = stripslashes_array($v);  
}  
} else if (is_string($array)) {  
$array = stripslashes($array);  
}  
return $array;  
}  
@set_magic_quotes_runtime(0);  
// 判斷 magic_quotes_gpc 狀態  
if (@get_magic_quotes_gpc()) {  
$_GET = stripslashes_array($_GET);  
$_POST = stripslashes_array($_POST);  
$_COOKIE = stripslashes_array($_COOKIE);  
}

去除magic_quotes_gpc的轉義之后再使用addslashes函數,代碼如下:

PHP防范SQL注入的代碼

復制代碼 代碼如下:


$keywords = addslashes($keywords);
$keywords = str_replace("_","\_",$keywords);//轉義掉”_”
$keywords = str_replace("%","\%",$keywords);//轉義掉”%”

后兩個str_replace替換轉義目的是防止黑客轉換SQL編碼進行攻擊。

b. 強制字符格式(類型)

在很多時候我們要用到類似xxx.php?id=xxx這樣的URL,一般來說$id都是整型變量,為了防范攻擊者把$id篡改成攻擊語句,我們要盡量強制變量,代碼如下:

PHP防范SQL注入的代碼

$id=intval($_GET['id']);

當然,還有其他的變量類型,如果有必要的話盡量強制一下格式。

c. SQL語句中包含變量加引號

這一點兒很簡單,但也容易養成習慣,先來看看這兩條SQL語句:

SQL代碼

復制代碼 代碼如下:


SELECT * FROM article WHERE articleid='$id'
SELECT * FROM article WHERE articleid=$id

兩種寫法在各種程序中都很普遍,但安全性是不同的,第一句由于把變量$id放在一對單引號中,這樣使得我們所提交的變量都變成了字符串,即使包含了正確的SQL語句,也不會正常執行,而第二句不同,由于沒有把變量放進單引號中,那我們所提交的一切,只要包含空格,那空格后的變量都會作為SQL語句執行,因此,我們要養成給SQL語句中變量加引號的習慣。

d.URL偽靜態化

URL偽靜態化也就是URL重寫技術,像Discuz!一樣,將所有的URL都rewrite成類似xxx-xxx-x.html格式,既有利于SEO,又達到了一定的安全性,也不失為一個好辦法。但要想實現PHP防范SQL注入,前提是你得有一定的“正則”基礎。

以上是“PHP如何防范SQL注入”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

云安县| 仁化县| 普安县| 磐石市| 柳林县| 宽城| 博白县| 达孜县| 万盛区| 宜城市| 扶余县| 资溪县| 祥云县| 马公市| 延津县| 称多县| 饶阳县| 泗水县| 石屏县| 开阳县| 大兴区| 康保县| 沈阳市| 磐石市| 诏安县| 龙江县| 吉林省| 商洛市| 石泉县| 宜城市| 永吉县| 南投市| 雷波县| 泰顺县| 突泉县| 桂平市| 福建省| 柳林县| 湛江市| 应用必备| 鹰潭市|