php如何防sql注入?
内容导读
收集整理的这篇技术教程文章主要介绍了php如何防sql注入?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2332字,纯文字阅读大概需要4分钟。
内容图文
SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
php如何防sql注入?
1、什么时候最易受到SQL注入攻击
当应用程序使用输入内容来构造动态SQL语句,以访问数据库时会发生SQL注入攻击
2、如何防止SQL注入
a、永远不要相信用户的输入,对用户输入进行校验,可以通过正则表达式,或限制长度,对单引号和“_”进行转换
不建议使用:
//$user = htmlspecialchars(addslashes($user)); //$pwd = htmlspecialchars(addslashes($pwd)); //$yzm = htmlspecialchars(addslashes($yzm));
应使用:
$user = htmlspecialchars(addslashes($user));$pwd = htmlspecialchars(addslashes($pwd));$yzm = htmlspecialchars(addslashes($yzm));
b、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取
不建议使用:
// $sql = "select * from user where user='$user' and pwd ='$pwd'";
应使用:
$sql = "select * from user where user=? and pwd =?";
c、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据连接
$conn = @new mysqli('localhost','root','','myschool');if($conn->connect_error){die('连接数据库失败');} $conn->set_charset('utf8');
d、不要把机密的信息直接存放,加密或者HASH掉密码和敏感的信息
e、QL注入的检测方法一般是采取辅助软件或网站平台检测,软件一般采取SQL注入检测工具jsky,网站平台就有亿思,网站平台检测工具
3、php mysqli扩展之预处理
在mysqli操作中常常涉及到它的三个主要类:MYSQLI类,MYSQL_STMT类,MYSQLI_RESULT类,预处理主要利用MYSQL_STMT类完成的。
预处理是一种重要的防止SQL注入的手段,对提高网站安全性有重要意义,预处理语句的工作原理:
(1)预处理:创建SQL语句模板并发送到数据库,预留的值使用参数?标记。
例:insert into myguests(firstname,lastname,email) values (?,?,?)
(2)数据库分析,编译,对SQL语句模板执行查询优化,并存储结果不输出
if ($stmt = $conn->prepare($sql)) { $stmt -> bind_param("ss",$user,$pwd);$stmt -> execute();$stmt -> store_result(); //$res = $conn ->query($sql); if ($stmt->num_rows==0) {show_error('输入的用户名或密码错误','demo1.html'); } $stmt -> close();}$conn ->close();
(3)执行,最后,将应用绑定的值传递给参数(“?”标记),数据库执行语句,应用可以多次执行语句,如果参数的值不一样
以上就是php如何防sql注入?的详细内容,更多请关注Gxl网其它相关文章!
内容总结
以上是为您收集整理的php如何防sql注入?全部内容,希望文章能够帮你解决php如何防sql注入?所遇到的程序开发问题。 如果觉得技术教程内容还不错,欢迎将网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。