php表单防注入

① 我用php的strpos函数写了一个简单的防止注入的代码，希望大家帮我改错

<?php
$str=array("update","insert");
foreach($stras$val){
if(strpos($_POST["user"],$val)===true)
die("非法内容!");
}
?>
//如果仅仅需要过滤以上两个关键字，用上边代码就行咯，但防止注入不是你这样理解的，注入是指根据表单值或者get数据构造sql语句进行危害，比如
$sql="select*fromuserwhereid='".$_POST["user"]."'";
如果传来的$_POST["user"]是a'and1=1,上边的语句就变成咯
select*fromuserwhereid='a'and1=1';
这只是一个简单的举例，实际情况要复杂得多，因此必须对数据进行过滤。我给你一个我自己的过滤函数
<?php
functiongetpost($arr){
if(get_magic_quotes_gpc()){
$arr=is_array($arr)?array_map('stripslashes',$arr):stripslashes($arr);
}
if(is_array($arr)){
foreach($arras$key=>$val){
$arr[$key]=htmlspecialchars($val,ENT_QUOTES);//html实体转换
$arr[$key]=mysql_real_escape_string($arr[$key]);//防注入替换
}
}else{
$arr=htmlspecialchars($arr,ENT_QUOTES);//html实体转换
$arr=mysql_real_escape_string($arr);//防注入替换
}
return$arr;
}
?>

② 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞

使用php安全模式

服务器要做好管理，账号权限是否合理。

假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如：对用户的输入输出做好必要的过滤

防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。

文件上传，检查是否做好效验，要注意上传文件存储目录权限。

防御SQL注入。

避免SQL注入漏洞

1.使用预编译语句

2.使用安全的存储过程

3.检查输入数据的数据类型

4.从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库，也应该为数据库分配不同的账户。web应用使用的数据库账户，不应该有创建自定义函数，操作本地文件的权限。

避免XSS跨站脚本攻击

1.假定所有用户输入都是“邪恶”的

2.考虑周全的正则表达式

3.为cookie设置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注释

6. 针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

③ 在thinkphp框架中如何防止sql注入

在ThinkPHP框架中，防止SQL注入的关键在于使用参数绑定和查询构造器，避免直接将用户输入拼接到SQL语句中。

首先，ThinkPHP提供了强大的数据库操作类，其中包含了各种数据库操作方法。当使用这些方法时，框架会自动对输入的数据进行转义处理，从而降低SQL注入的风险。但更为推荐的做法是使用参数绑定。参数绑定能够确保传递给SQL语句的数据与命令分开，这样即使数据中包含恶意代码，也不会被数据库执行。在ThinkPHP中，可以通过预处理语句或者查询构造器的方式来实现参数绑定。

其次，查询构造器是ThinkPHP中另一个重要的防SQL注入工具。查询构造器提供了一种链式调用的方式来构建SQL语句，它内部会自动处理数据的转义和拼接，用户无需直接编写SQL语句。这种方式不仅代码更加简洁易读，而且能够大大减少因手动拼接SQL而产生的注入漏洞。例如，使用where方法来设置查询条件，而不是直接将条件拼接到SQL语句中。

最后，除了上述的技术手段外，还需要结合一些开发规范来共同防范SQL注入。例如，对用户输入进行严格的验证和过滤，确保只有符合预期的数据才能被处理；定期更新和维护系统以及依赖的库，以修复已知的安全漏洞；对数据库进行最小权限原则的配置，限制攻击者潜在的利用空间。

综上所述，ThinkPHP框架通过参数绑定、查询构造器以及结合开发规范等多重手段，可以有效地防止SQL注入攻击。这些措施共同构成了一个立体的安全防护体系，为应用程序的数据库安全提供了强有力的保障。

④ php如何防止sql注入

防止SQL注入的关键在于避免直接将用户的输入插入到SQL查询字符串中，因为这样使得攻击者能够操纵查询，从而进行注入攻击。例如，如果用户输入的是 `'); DROP TABLE table;--`，那么最终的SQL语句将变成 `DROP TABLE table;`，这将导致表被删除。

要避免这种情况，需要采用准备语句和参数化查询。这种方法将SQL语句和参数分开发送和解析，攻击者无法利用注入来执行恶意SQL。以下是两种实现方式：

首先，可以使用MySQLi扩展。

如果你使用的是非MySQL数据库，例如PostgreSQL，可以通过使用`pg_prepare()`和`pg_execute()`方法实现类似功能。PDO（PHP Data Objects）则提供了更广泛的兼容性。

在设置数据库连接时，确保关闭准备模拟选项，以确保真正的SQL语句准备和参数分离。例如，如下代码展示了如何正确设置连接：

设置错误模式为推荐的，以便在遇到问题时提供有用的错误信息。

重点在于设置`PDO`属性为不模拟准备语句，而是真正准备语句。这样，PHP不会自行解析SQL，而是将SQL语句发送给MySQL服务器，防止了攻击者注入恶意SQL。

值得注意的是，某些老版本的PHP（<5.3.6）会忽略DSN中的字符集参数。

通过参数化查询，SQL语句与参数分离。这样，参数和编译过的语句结合，而不是与SQL字符串结合，避免了混淆参数和语句的攻击机制。例如，如果`$name`变量是 `'Sarah'; DELETE FROM employees`，实际执行的SQL语句将为 `'Sarah'; DELETE FROM employees'`，而不是删除整个表。这保证了数据安全。

另一个优势是，对于重复执行的相同查询，SQL语句只需编译一次，可以提高执行效率。

对于需要执行动态查询的场景，最好采用白名单限制输入。准备语句仅用于准备参数，查询结构不能改变。

⑤ php如何防止sql注入

PHP防止sql注入是一个比较低级的问题了，这个问题其实在我大一上学期做第一个个人博客的时候就已经关注过了，不过简单的说一下关于PHP防注入的方式吧。

对于现在的防注入技术其实已经成熟了，对于一个站点该关心的不是防注入了，而是大规模高并发如何处理的问题，或者关于各种其他漏洞，比如现在世界上仍然有百分之80使用redis的站点存在redis漏洞，通过redis漏洞可以直接拿到机器的访问权限，一般来说都是直接给你种一个挖矿机器人来。

⑥ ThinkPHP如何防止SQL注入

（1）查询条件尽量使用数组方式，这是更为安全的方式；
（2）如果不得已必须使用字符串查询条件，使用预处理机制；
（3）使用绑定参数；
（4）强制进行字段类型验证，可以对数值数据类型做强制转换；
（5）使用自动验证和自动完成机制进行针对应用的自定义过滤；
（6）使用字段类型检查、自动验证和自动完成机制等避免恶意数据的输入；
（7）做一些过滤。