php危險字元_php中防止SQL注入該如何解決

『壹』 php中防止SQL注入，該如何解決

防sql注入的一個簡單方法就是使用框架，一般成熟框架中會集成各種安全措施。

當然也可以自己處理，如果用戶的輸入能直接插入到SQL語句中，那麼這個應用就易收到SQL注入的攻擊。我認為最重要的一點，就是要對數據類型進行檢查和轉義。

php.ini

------------

display_errors 選項，應該設為display_errors = off。這樣 php 腳本出錯之後，不會在 web 頁面輸出錯誤，以免讓攻擊者分析出有作的信息。

打開magic_quotes_gpc來防止SQL注入，magic_quotes_gpc= Off，這個默認是關閉的，如果它打開後將自動把用戶提交對sql的查詢進行轉換，比如把 ' 轉為 '等，對於防止sql注射有重大作用。如果magic_quotes_gpc=Off，則使用addslashes()函數。

mysql 函數

---------------

調用mysql_query 等mysql 函數時，前面應該加上 @，即 @mysql_query(...)，這樣 mysql 錯誤不會被輸出。同理以免讓攻擊者分析出有用的信息。另外，有些程序員在做開發時，當mysql_query出錯時，習慣輸出錯誤以及sql 語句。

mysql_real_escape_string -- 轉義 SQL 語句中使用的字元串中的特殊字元，並考慮到連接的當前字元集。

Sql語句

------------

對提交的 sql 語句，進行轉義和類型檢查。如果請求是數值型，那麼調用is_numeric() 判斷是否為數值。如果不是，則返回程序指定的默認值。簡單起見，對於文本串，我將用戶輸入的所有危險字元（包括HTML代碼），全部轉義。由於php 函數addslashes()存在漏洞，我用str_replace()直接替換。get_magic_quotes_gpc()函數是php 的函數，用來判斷magic_quotes_gpc 選項是否打開。

其它

---------

使用預處理語句和參數化查詢（PDO或mysqli）。預處理語句和參數分別發送到資料庫伺服器進行解析，參數將會被當作普通字元處理。這種方式使得攻擊者無法注入惡意的SQL。

熱點內容

數控車床編程初學實例發布：2025-01-16 04:48:51 瀏覽：946

cad中篩選命令是什麼發布：2025-01-16 04:32:28 瀏覽：800

數控銑床法蘭克編程發布：2025-01-16 04:04:53 瀏覽：330

怎麼樣分解壓縮包圖標發布：2025-01-16 03:50:02 瀏覽：619

php兩年工作經驗簡歷發布：2025-01-16 03:45:44 瀏覽：763

怎麼提前解壓房貸發布：2025-01-16 03:35:12 瀏覽：698

反詐宣傳app哪裡可以拿到用戶資料發布：2025-01-16 03:25:08 瀏覽：855

華為交換機命令配置發布：2025-01-16 03:09:05 瀏覽：11

電機pid演算法實例c語言發布：2025-01-16 03:01:04 瀏覽：972

安裝ue5未找到金屬編譯器發布：2025-01-16 02:57:41 瀏覽：963

l1壓縮性骨折微創手術發布：2025-01-16 02:56:40 瀏覽：615

看電腦配置命令發布：2025-01-16 02:54:28 瀏覽：108

單片機調用db數值偏移量發布：2025-01-16 02:49:07 瀏覽：446

賓士smart車型壓縮機功率發布：2025-01-16 02:40:25 瀏覽：527

伺服器預留地址獲取發布：2025-01-16 02:30:20 瀏覽：1004

雲庫文件夾怎麼設置發布：2025-01-16 02:29:33 瀏覽：295

文件夾目錄製作自動跳轉發布：2025-01-16 02:29:30 瀏覽：454

在哪個音樂app能聽exo的歌發布：2025-01-16 02:22:37 瀏覽：850

pdf超級加密發布：2025-01-16 02:16:20 瀏覽：52

蘋果手機app安裝包怎麼解壓並安裝發布：2025-01-16 02:14:46 瀏覽：908

導航:首頁 > 編程語言 > php危險字元

php危險字元

與php危險字元相關的資料