欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

php防注入及開發(fā)安全詳細(xì)解析

 更新時(shí)間:2013年08月09日 09:11:01   作者:  
以下是對(duì)php防注入及開發(fā)安全進(jìn)行了詳細(xì)的分析介紹,需要的朋友可以過來參考下

1、PHP注入的基本原理
程序員的水平及經(jīng)驗(yàn)也參差不齊,相當(dāng)大一部分程序員在編寫代碼的時(shí)候,沒有對(duì) 用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù) 庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是所謂的 SQL Injection,即SQL注入。 受影響的系統(tǒng):對(duì)輸入的參數(shù)不進(jìn)行檢查和過濾的系統(tǒng).

SQL注入過程
正常來講,我們通過地址接收一些必要的參數(shù)如:
頁面中我們會(huì)使用 2 寫入到SQL語句中
正常情況:Select * From Table where id=2

PHP100.php?id=2
如果我們對(duì)SQL語句熟悉,就知道2 我們可以替換成我們需要的SQL語句
如:and exists (select id from admin)

2、防止注入的幾種辦法
其實(shí)原來就是我們需要過濾一些我們常見的關(guān)鍵字和符合如:
Select,insert,update,delete,and,*,等等
例子:

復(fù)制代碼 代碼如下:

function inject_check($sql_str) {
return preg_match('/select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile/i', $sql_str);      // 進(jìn)行過濾
}

或者是通過系統(tǒng)函數(shù)間的過濾特殊符號(hào)
Addslashes(需要被過濾的內(nèi)容)

3、PHP其他地方安全設(shè)置
register_globals = Off 設(shè)置為關(guān)閉狀態(tài)
SQL語句書寫時(shí)盡量不要省略小引號(hào)和單引號(hào)

復(fù)制代碼 代碼如下:

Select * From Table Where id=2 (不規(guī)范)
Select * From ·Table· Where ·id·='2' (規(guī)范)

提高數(shù)據(jù)庫命名技巧,對(duì)于一些重要的字段可根據(jù)程序特點(diǎn)命名
對(duì)于常用方法加以封裝,避免直接暴露SQL語句

正確的使用 $_POST $_GET $_SESSION 等接受參數(shù),并加以過濾

相關(guān)文章

最新評(píng)論