您好,登錄后才能下訂單哦!
小編給大家分享一下php防sql注入原理是什么,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
sql注入:就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。
預(yù)處理語句針對SQL注入是非常有用的,因?yàn)閰?shù)值發(fā)送后使用不同的協(xié)議,保證了數(shù)據(jù)的合法性。預(yù)處理看作是想要運(yùn)行的SQL的一種編譯過的模板,它可以使用變量參數(shù)進(jìn)行定制。
防御方法一
mysql_real_escape_string – 轉(zhuǎn)義SQL 語句中使用的字符串中的特殊字符,并考慮到連接的當(dāng)前字符集 !
$sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_real_escape_string($pw)."' limit 1";
方法二:
打開magic_quotes_gpc來防止SQL注入。php.ini中有一個(gè)設(shè)置:magic_quotes_gpc =
Off這個(gè)默認(rèn)是關(guān)閉的,如果它打開后將自動把用戶提交對sql的查詢進(jìn)行轉(zhuǎn)換,比如把 ’ 轉(zhuǎn)為 '等,對于防止sql注射有重大作用。
如果magic_quotes_gpc=Off,則使用addslashes()函數(shù)。
方法三:
自定義函數(shù)
function check_param($value=null) { #select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile $str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile'; if(!$value) { exit('沒有參數(shù)!'); }elseif(eregi($str, $value)) { exit('參數(shù)非法!'); } return true; } function str_check( $value ) { if(!get_magic_quotes_gpc()) { // 進(jìn)行過濾 $value = addslashes($value); } $value = str_replace("_", "\_", $value); $value = str_replace("%", "\%", $value); return $value; } function post_check($value) { if(!get_magic_quotes_gpc()) { // 進(jìn)行過濾 $value = addslashes($value); } $value = str_replace("_", "\_", $value); $value = str_replace("%", "\%", $value); $value = nl2br($value); $value = htmlspecialchars($value); return $value; }
以上是php防sql注入原理是什么的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學(xué)習(xí)更多知識,歡迎關(guān)注億速云行業(yè)資訊頻道!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。