php表單防注入

① 我用php的strpos函數寫了一個簡單的防止注入的代碼，希望大家幫我改錯

<?php
$str=array("update","insert");
foreach($stras$val){
if(strpos($_POST["user"],$val)===true)
die("非法內容!");
}
?>
//如果僅僅需要過濾以上兩個關鍵字，用上邊代碼就行咯，但防止注入不是你這樣理解的，注入是指根據表單值或者get數據構造sql語句進行危害，比如
$sql="select*fromuserwhereid='".$_POST["user"]."'";
如果傳來的$_POST["user"]是a'and1=1,上邊的語句就變成咯
select*fromuserwhereid='a'and1=1';
這只是一個簡單的舉例，實際情況要復雜得多，因此必須對數據進行過濾。我給你一個我自己的過濾函數
<?php
functiongetpost($arr){
if(get_magic_quotes_gpc()){
$arr=is_array($arr)?array_map('stripslashes',$arr):stripslashes($arr);
}
if(is_array($arr)){
foreach($arras$key=>$val){
$arr[$key]=htmlspecialchars($val,ENT_QUOTES);//html實體轉換
$arr[$key]=mysql_real_escape_string($arr[$key]);//防注入替換
}
}else{
$arr=htmlspecialchars($arr,ENT_QUOTES);//html實體轉換
$arr=mysql_real_escape_string($arr);//防注入替換
}
return$arr;
}
?>

② 如何實現php的安全最大化怎樣避免sql注入漏洞和xss跨站腳本攻擊漏洞

使用php安全模式

伺服器要做好管理，賬號許可權是否合理。

假定所有用戶的輸入都是「惡意」的，防止XSS攻擊，譬如：對用戶的輸入輸出做好必要的過濾

防止CSRF，表單設置隱藏域，post一個隨機字元串到後台，可以有效防止跨站請求偽造。

文件上傳，檢查是否做好效驗，要注意上傳文件存儲目錄許可權。

防禦SQL注入。

避免SQL注入漏洞

1.使用預編譯語句

2.使用安全的存儲過程

3.檢查輸入數據的數據類型

4.從資料庫自身的角度考慮，應該使用最小許可權原則，不可使用root或dbowner的身份連接資料庫。若多個應用使用同一個資料庫，也應該為資料庫分配不同的賬戶。web應用使用的資料庫賬戶，不應該有創建自定義函數，操作本地文件的許可權。

避免XSS跨站腳本攻擊

1.假定所有用戶輸入都是「邪惡」的

2.考慮周全的正則表達式

3.為cookie設置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注釋

6. 針對非法的HTML代碼包括單雙引號等，使用htmlspecialchars()函數。

③ 在thinkphp框架中如何防止sql注入

在ThinkPHP框架中，防止SQL注入的關鍵在於使用參數綁定和查詢構造器，避免直接將用戶輸入拼接到SQL語句中。

首先，ThinkPHP提供了強大的資料庫操作類，其中包含了各種資料庫操作方法。當使用這些方法時，框架會自動對輸入的數據進行轉義處理，從而降低SQL注入的風險。但更為推薦的做法是使用參數綁定。參數綁定能夠確保傳遞給SQL語句的數據與命令分開，這樣即使數據中包含惡意代碼，也不會被資料庫執行。在ThinkPHP中，可以通過預處理語句或者查詢構造器的方式來實現參數綁定。

其次，查詢構造器是ThinkPHP中另一個重要的防SQL注入工具。查詢構造器提供了一種鏈式調用的方式來構建SQL語句，它內部會自動處理數據的轉義和拼接，用戶無需直接編寫SQL語句。這種方式不僅代碼更加簡潔易讀，而且能夠大大減少因手動拼接SQL而產生的注入漏洞。例如，使用where方法來設置查詢條件，而不是直接將條件拼接到SQL語句中。

最後，除了上述的技術手段外，還需要結合一些開發規范來共同防範SQL注入。例如，對用戶輸入進行嚴格的驗證和過濾，確保只有符合預期的數據才能被處理；定期更新和維護系統以及依賴的庫，以修復已知的安全漏洞；對資料庫進行最小許可權原則的配置，限制攻擊者潛在的利用空間。

綜上所述，ThinkPHP框架通過參數綁定、查詢構造器以及結合開發規范等多重手段，可以有效地防止SQL注入攻擊。這些措施共同構成了一個立體的安全防護體系，為應用程序的資料庫安全提供了強有力的保障。

④ php如何防止sql注入

防止SQL注入的關鍵在於避免直接將用戶的輸入插入到SQL查詢字元串中，因為這樣使得攻擊者能夠操縱查詢，從而進行注入攻擊。例如，如果用戶輸入的是 `'); DROP TABLE table;--`，那麼最終的SQL語句將變成 `DROP TABLE table;`，這將導致表被刪除。

要避免這種情況，需要採用准備語句和參數化查詢。這種方法將SQL語句和參數分開發送和解析，攻擊者無法利用注入來執行惡意SQL。以下是兩種實現方式：

首先，可以使用MySQLi擴展。

如果你使用的是非MySQL資料庫，例如PostgreSQL，可以通過使用`pg_prepare()`和`pg_execute()`方法實現類似功能。PDO（PHP Data Objects）則提供了更廣泛的兼容性。

在設置資料庫連接時，確保關閉准備模擬選項，以確保真正的SQL語句准備和參數分離。例如，如下代碼展示了如何正確設置連接：

設置錯誤模式為推薦的，以便在遇到問題時提供有用的錯誤信息。

重點在於設置`PDO`屬性為不模擬准備語句，而是真正准備語句。這樣，PHP不會自行解析SQL，而是將SQL語句發送給MySQL伺服器，防止了攻擊者注入惡意SQL。

值得注意的是，某些老版本的PHP（<5.3.6）會忽略DSN中的字元集參數。

通過參數化查詢，SQL語句與參數分離。這樣，參數和編譯過的語句結合，而不是與SQL字元串結合，避免了混淆參數和語句的攻擊機制。例如，如果`$name`變數是 `'Sarah'; DELETE FROM employees`，實際執行的SQL語句將為 `'Sarah'; DELETE FROM employees'`，而不是刪除整個表。這保證了數據安全。

另一個優勢是，對於重復執行的相同查詢，SQL語句只需編譯一次，可以提高執行效率。

對於需要執行動態查詢的場景，最好採用白名單限制輸入。准備語句僅用於准備參數，查詢結構不能改變。

⑤ php如何防止sql注入

PHP防止sql注入是一個比較低級的問題了，這個問題其實在我大一上學期做第一個個人博客的時候就已經關注過了，不過簡單的說一下關於PHP防注入的方式吧。

對於現在的防注入技術其實已經成熟了，對於一個站點該關心的不是防注入了，而是大規模高並發如何處理的問題，或者關於各種其他漏洞，比如現在世界上仍然有百分之80使用redis的站點存在redis漏洞，通過redis漏洞可以直接拿到機器的訪問許可權，一般來說都是直接給你種一個挖礦機器人來。

⑥ ThinkPHP如何防止SQL注入

（1）查詢條件盡量使用數組方式，這是更為安全的方式；
（2）如果不得已必須使用字元串查詢條件，使用預處理機制；
（3）使用綁定參數；
（4）強制進行欄位類型驗證，可以對數值數據類型做強制轉換；
（5）使用自動驗證和自動完成機制進行針對應用的自定義過濾；
（6）使用欄位類型檢查、自動驗證和自動完成機制等避免惡意數據的輸入；
（7）做一些過濾。