资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

php防sql注入的方法

这篇文章主要介绍了php防sql注入的方法,具有一定借鉴价值,需要的朋友可以参考下。希望大家阅读完这篇文章后大有收获。下面让小编带着大家一起了解一下。

德钦网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设等网站项目制作,到程序开发,运营维护。创新互联公司从2013年创立到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司

SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器

攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。

php如何防sql注入?

1、什么时候最易受到SQL注入攻击

当应用程序使用输入内容来构造动态SQL语句,以访问数据库时会发生SQL注入攻击

2、如何防止SQL注入

a、永远不要相信用户的输入,对用户输入进行校验,可以通过正则表达式,或限制长度,对单引号和“_”进行转换

不建议使用:

//$user = htmlspecialchars(addslashes($user));
 //$pwd = htmlspecialchars(addslashes($pwd));
 //$yzm = htmlspecialchars(addslashes($yzm));

应使用:

$user = htmlspecialchars(addslashes($user));
$pwd = htmlspecialchars(addslashes($pwd));
$yzm = htmlspecialchars(addslashes($yzm));

b、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取

不建议使用:

// $sql = "select * from user where user='$user' and pwd ='$pwd'";

应使用:

$sql = "select * from user where user=? and pwd =?";

c、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据连接

$conn = @new MySQLi('localhost','root','','myschool');
if($conn->connect_error){
die('连接数据库失败');
}
 
$conn->set_charset('utf8');

d、不要把机密的信息直接存放,加密或者HASH掉密码和敏感的信息

e、QL注入的检测方法一般是采取辅助软件或网站平台检测,软件一般采取SQL注入检测工具jsky,网站平台就有亿思,网站平台检测工具

3、php mysqli扩展之预处理

在mysqli操作中常常涉及到它的三个主要类:MYSQLI类,MYSQL_STMT类,MYSQLI_RESULT类,预处理主要利用MYSQL_STMT类完成的。

预处理是一种重要的防止SQL注入的手段,对提高网站安全性有重要意义,预处理语句的工作原理:

(1)预处理:创建SQL语句模板并发送到数据库,预留的值使用参数?标记。

例:insert into myguests(firstname,lastname,email) values (?,?,?)

(2)数据库分析,编译,对SQL语句模板执行查询优化,并存储结果不输出

if ($stmt = $conn->prepare($sql)) {
 
$stmt -> bind_param("ss",$user,$pwd);
$stmt -> execute();
$stmt -> store_result();
    //$res = $conn ->query($sql);
  if ($stmt->num_rows==0) {
show_error('输入的用户名或密码错误','demo1.html');
   }
   $stmt -> close();
}
$conn ->close();

(3)执行,最后,将应用绑定的值传递给参数(“?”标记),数据库执行语句,应用可以多次执行语句,如果参数的值不一样

感谢你能够认真阅读完这篇文章,希望小编分享php防sql注入的方法内容对大家有帮助,同时也希望大家多多支持创新互联,关注创新互联行业资讯频道,遇到问题就找创新互联,详细的解决方法等着你来学习!


分享标题:php防sql注入的方法
当前地址:http://cdkjz.cn/article/iiddhd.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220