1:數字型引數使用類似intval,floatval這樣的方法強制過濾。
2:字串型引數使用類似mysql_real_escape_string這樣的方法強制過濾,而不是簡單的addslashes。
3:最好拋棄mysql_query這樣的拼接sql查詢方式,盡可能使用pdo的prepare繫結方式。
4:使用rewrite技術隱藏真實指令碼及引數的資訊,通過rewrite正則也能過濾可疑的引數。
5:關閉錯誤提示,不給攻擊者提供敏感資訊:display_errors=off。
6:以日誌的方式記錄錯誤資訊:log_errors=on和error_log=filename,定期排查,web日誌最好也查。
7:不要用具有file許可權的賬號(比如root)連線mysql,這樣就遮蔽了load_file等危險函式。
sql注入預防
sql注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的sql語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫伺服器執行非授權的任意查詢,從而進一步得到相應的資料資訊。1.簡單又有效的方法 prepar...
sql注入預防
在我們登陸驗證時會發現sql注入的現象。1.sql注入發生原因 因為如果使用者在使用者名稱上輸入的是 or 1 1 時,我們得到的sql語句是select from shop user where username or 1 1 and password d41d8cd98f00b204e98009...
如何預防SQL注入
以前我出去面試時,人家問我什麼叫sql注入,我很迷芒的告訴人家 我不知道,因為我從來沒有遇到過這類情況。後來隨著sql注入漸入流行,我才發現,其實sql注入是因為程式設計師寫程式時的不良習慣導致的一類漏洞的總稱。其主要原因是程式設計師沒有處理好sql語句中的單引號 例如,在數字型引數中,沒有用程式去...