这两天看了个防sql注入,觉得有必要总结一下:

首先需要做一些php的安全配置:

1 在php.ini 中把display_errors改成OFF

  1. display_errors = OFF

或在php文件前加入

  1. error_reporting(0)

2 关闭一些“坏功能”

1)关闭magic quotes功能
  在php.ini 把magic_quotes_gpc = OFF
  避免和addslashes等重复转义

2)关闭register_globals = Off

  在php.ini 把register_globals = OFF

在register_globals = ON的情况下

3 使用过滤函数

Addslashes给这些 “'”、“””、“\”,“NULL” 添加斜杆“\'”、“\””、“\\”,“\NULL”, stripslashes则相反,这里要注意的是php.ini是否开启了magic_quotes_gpc=ON,开启若使用addslashes会出 现重复。所以使用的时候要先get_magic_quotes_gpc()检查

  1. if(!get_magic_quotes_gpc())
  2. {
  3. $abc = addslashes($abc);
  4. }
  1. if (PHP_VERSION >= '4.3')
  2. {
  3. $string = mysql_real_escape_string($string);
  4. }else
  5. {
  6. $string = mysql_escape_string($string );
  7. }

4 非文本参数的过滤

  1. function _str_replace($str )
  2. {
  3. $str = str_replace(" ","",$str);
  4. $str = str_replace("\n","",$str);
  5. $str = str_replace("\r","",$str);
  6. $str = str_replace("'","",$str);
  7. $str = str_replace('"',"",$str);
  8. $str = str_replace("or","",$str);
  9. $str = str_replace("and","",$str);
  10. $str = str_replace("#","",$str);
  11. $str = str_replace("\\","",$str);
  12. $str = str_replace("-- ","",$str);
  13. $str = str_replace("null","",$str);
  14. $str = str_replace("%","",$str);
  15. //$str = str_replace("_","",$str);
  16. $str = str_replace(">","",$str);
  17. $str = str_replace("<","",$str);
  18. $str = str_replace("=","",$str);
  19. $str = str_replace("char","",$str);
  20. $str = str_replace("declare","",$str);
  21. $str = str_replace("select","",$str);
  22. $str = str_replace("create","",$str);
  23. $str = str_replace("delete","",$str);
  24. $str = str_replace("insert","",$str);
  25. $str = str_replace("execute","",$str);
  26. $str = str_replace("update","",$str);
  27. $str = str_replace("count","",$str);
  28. return $str;
  29. }

防sql注入攻击的更多相关文章

  1. PHP防SQL注入攻击

    PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $ ...

  2. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  3. PHP几个防SQL注入攻击自带函数区别

    SQL注入攻击是黑客攻击网站最常用的手段.如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击.SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录 ...

  4. jdbc之防sql注入攻击

    1.SQL注入攻击:    由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执 ...

  5. PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO(PDO一是PHP数据对象(PHP Data Object)的缩写),可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_ ...

  6. 【数据库】SQL注入攻击

    背景: 机房收费系统验收的时候,师父提到SQL注入攻击.自己以前看过类似的博客大概知道一些这方面的事情,于是自己动手查了查. 定义: 所谓SQL注入,通过SQL命令插入到Web表单提交或者输入域名或页 ...

  7. nginx服务器防sql注入/溢出攻击/spam及禁User-agents

    本文章给大家介绍一个nginx服务器防sql注入/溢出攻击/spam及禁User-agents实例代码,有需要了解的朋友可进入参考. 在配置文件添加如下字段即可  代码如下 复制代码 server { ...

  8. web攻击之八:溢出攻击(nginx服务器防sql注入/溢出攻击/spam及禁User-agents)

    一.什么是溢出攻击 首先, 溢出,通俗的讲就是意外数据的重新写入,就像装满了水的水桶,继续装水就会溢出,而溢出攻击就是,攻击者可以控制溢出的代码,如果程序的对象是内核级别的,如dll.sys文件等,就 ...

  9. tp5怎么防sql注入 xss跨站脚本攻击

    在 application/config.php 中有个配置选项 框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则 则会调用这些函数 自动过滤 // 默认全局过滤方法 用逗号分隔多个 ...

随机推荐

  1. UVA1339(字母映射)

    memcmp(const void *buf1, const void *buf2, unsigned int count)可以比较两个串相等 http://baike.baidu.com/link? ...

  2. Maven+MyBatis 初试

    工作中一直使用的都是Hibernate,总是听见有人拿Mybatis和Hibernate做比较,今天尝试来看看. 一.用Maven建立web项目 此处参见 http://www.cnblogs.com ...

  3. cocos-creator 脚本逻辑-1

    1.节点 编辑组件的脚本文件时.可以通过以下语句获得节点 this 就是当前组件 this.node 拿到组件依附的节点 This.node.parent 拿到组件依附的节点 的父节点 This.no ...

  4. apply()方法和call()方法

    obj.func.call(obj1)       //是将obj1看做obj,调用func方法,将第一个参数看做函数调用的对象,可以看做,将obj的方法给obj1使用 ECMAScript规范给所有 ...

  5. EMSAscript

    1.javaScript 中const.var.let区别 const 定义的变量不可修改 而且必须初始化 =>解决闭包变量污染问题 var 定义的变量可以修改 如果不初始化则默认值为undef ...

  6. Common in Hardware & Software

    A lot of common in Hardware programming & Software Programming

  7. 如何实现Docker应用的自定义弹性伸缩

    简介 现在有很多客户很关心应用的自动弹性伸缩,有些客户也有自己的监控框架,并希望能跟阿里云容器服务进行集成.阿里云容器服务提供了服务弹性伸缩触发器,并能够跟监控框架集成来实现自定义的服务自动弹性伸缩. ...

  8. 基础JavaScript练习(一)

    任务目的 学习与实践JavaScript的基本语法.语言特性 初步了解JavaScript的事件是什么 初步了解JavaScript中的DOM是什么 任务描述 如图,模拟一个队列,队列的每个元素是一个 ...

  9. 插入mysql语句报错:1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near

    插入一个很简单的sql语句时候,mysql一直报错: [SQL] INSERT INTO ORDER ( id, activity_id, order_type, phone, order_amoun ...

  10. 【Python机器学习及实践】笔记