php專案防止sql注入的方法

2021-09-30 14:29:42 字數 637 閱讀 4765

sql注入:通過在表單中新增特殊的字元或url中增加特殊的字元,然後向資料庫發起請求,拼湊出sql語句,達到攻擊的目的

有兩種:

1、post

2、get

post的萬能密碼:***

』or 『1

如何防範萬能密碼:

最簡單的方式,就是密碼加密:md5, sha1

萬能使用者名稱:***x' or 1#

如何防範萬能使用者名稱:

讓單引號失去本身的含義,利用addslashes函式進行轉義,以下為轉義的函式:

function deepslashes($data)

//中高階程式設計師寫法

return is_array($data) ? array_map('deepslashes', $data) : addslashes($data);

}

在接受get傳參的時候,也需要處理一下,通常就是傳遞id的時候。

處理方法很簡單,只需要將引數 轉成 整型即可。

如 1 or 1 -----> 1

有哪些方式:

1、強制轉換,使用函式intval 或者 資料型別的 關鍵字 int

2、隱式轉換,通過運算, 只需要 +0 即可

PHP防止SQL注入的方法

菜鳥今天剛剛學習php和sql方面的內容,感覺坑比較深,做一下簡單的記錄,歡迎批評交流。主要有兩種思路一種是過濾,一種是使用佔位符,據說第二種可以根本解決sql注入,本人涉獵不深,還有待研究。下面是過濾思路的示例 需要注意以下幾點 1.判斷資料型別加引號,防止被識別為數字。2.使用stripslas...

php 防止sql注入

標題起的名字很大其實這裡只說乙個簡單的方法 防止sql注入的方法有很多,這裡要說的其實就是漏洞演練平台dvwa裡的一種方式 直接看high級別的就可以了 id get id id stripslashes id id mysql real escape string id if is numeric...

php防止sql注入

所謂sql注入,是由表單提交時,後台拼接 sql語句造成的。如此,會給系統帶來很大的破壞,甚至導致整個資料庫被清掉,或刪除。因此必須做好防注入操作。關於這個問題,成熟的方案有很多,現在總結如下 一,從根源上解決問題,也就是在接受表單提交時,要特別注意sql拼接處理可能帶來的影響,避免給黑客留下突破口...