程式設計師水平和經驗參差不齊,一部分程式設計師在編寫**的時候沒有對使用者輸入的資料合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢**,根據程式返回的結果,獲得某些他想知道的資料,這就是所謂的 sql injection,即 sql 注入。受影響的系統:對輸入不進行檢查和過濾的系統。
// 防sql注入
function checkinput( $val )
if ( function_exists( "mysql_real_escape_string" ) )else
return $val;
}
1、register_globals = off
2、sql 語句書寫時盡量不要省略小引號和單引號
3、正確使用 $_post、$_get、$_session 等接收引數,並加以過濾
4、提高資料庫命名技巧,對於一些重要的字段可根據程式特點命名
5、對於常用方法加以封裝,避免直接暴露 sql 語句
學習php安全和防注入
大致有 1.sql注入防範 2.檔案上傳漏洞防範 3.cookie欺騙防範 4.跨站攻擊 xss 防範 主要介紹下面2個函式的使用 增加轉義 if get magic quotes gpc 用上面的函式 strip cslash es deep遞迴增加所有引數裡面的轉義符號 post array m...
PHP防SQL注入
php防sql注入攻擊 收藏 沒有太多的過濾,主要是針對php和mysql的組合。一般性的防注入,只要使用php的 addslashes 函式就可以了。以下是一段copy來的 php post sql injection post get sql injection get function sql...
PHP防SQL注入
php防sql注入攻擊 收藏 沒有太多的過濾,主要是針對php和mysql的組合。一般性的防注入,只要使用php的 addslashes 函式就可以了。以下是一段copy來的 php post sql injection post get sql injection get function sql...