Java自学者论坛

 找回密码
 立即注册

手机号码,快捷登录

恭喜Java自学者论坛(https://www.javazxz.com)已经为数万Java学习者服务超过8年了!积累会员资料超过10000G+
成为本站VIP会员,下载本站10000G+会员资源,会员资料板块,购买链接:点击进入购买VIP会员

JAVA高级面试进阶训练营视频教程

Java架构师系统进阶VIP课程

分布式高可用全栈开发微服务教程Go语言视频零基础入门到精通Java架构师3期(课件+源码)
Java开发全终端实战租房项目视频教程SpringBoot2.X入门到高级使用教程大数据培训第六期全套视频教程深度学习(CNN RNN GAN)算法原理Java亿级流量电商系统视频教程
互联网架构师视频教程年薪50万Spark2.0从入门到精通年薪50万!人工智能学习路线教程年薪50万大数据入门到精通学习路线年薪50万机器学习入门到精通教程
仿小米商城类app和小程序视频教程深度学习数据分析基础到实战最新黑马javaEE2.1就业课程从 0到JVM实战高手教程MySQL入门到精通教程
查看: 624|回复: 0

php mysql注入攻击解决方案

[复制链接]
  • TA的每日心情
    奋斗
    6 天前
  • 签到天数: 803 天

    [LV.10]以坛为家III

    2053

    主题

    2111

    帖子

    72万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    726482
    发表于 2021-9-3 17:17:35 | 显示全部楼层 |阅读模式

      首先说说sql注入攻击的模式,基本上都是后台在接受前端传递的参数的时候将sql代码或脚本代码混入到提交信息中,如果在接受提交的参数的时候没有做精确的数据验证,很可能就让别人钻了空子;轻则暴库,重则数据库数据都会被删;

      所以想要预防sql注入, 关键是程序员写的代码一定要严谨,对数据做严格的验证,数据类型,长度,正则等都可以做;

      http://hudeyong926.iteye.com/blog/703074这个里面验证规则可以参考;

      在做防止sql注入的时候需要按照你传入参数的类型进行过滤,理论上只要不符合你传递的参数类型的数据应该全部过滤掉,可以写多个函数封装起来,用到这个过滤就调用这个函数;这样灵活性更高;

    1、正则表达式过滤sql关键字,这个一般在传参的时候肯定是不允许参数里面带这些数据的;

    function inject_check($str1) {
    //验证传入的参数中是否含有注入字符
    return preg_match('/select|insert|and|or|update|delete|union|into|load_file|outfile|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec|master|\/\*|\*|\.\.\/|\.\//i', $str1);
    }

    2、数据类型验证

    数据了类型就比较好判断了, is_string()判断是否是字符串,is_numeric()判断是否是数字;这里需要注意一点,php是弱语言型编程语言,所以区分是否是数字和字串的时候需要注意一下,'1'和1其实是相等的, php会自动把数字型字串转换成数字,但是如果在'1'外面套上双引号如"'1'"这样,它就是字串了;在做过滤的时候切记, 不然很容易犯错;

    3、数据长度验证

    如果能确定你的传入数据的长度,当然可以做一个简单判断, 不过一般情况直接使用正则表达式判断, 不仅能匹配数据长度, 还能精确的匹配数据类型和参数格式等,所以正则表达式还是很方便高效的;

    4、特殊字符替换

    这个问题可能存在当用户输入',",%等的时候, sql误以为是特殊字符,执行的时候语句就报错或是查询的结果不对;这就需要str_replace()函数做字符串特定字符的替换,

    比如str_resplace(''','\'',$str);,这样就会把$str中的'号转成\';这样sql在执行的时候就会把'当做'去处理,不然会以为是字符串分界符;这样就会报错了,%其实也是一样,%在sql中是模糊查询,如果做了转义处理,sql就会认为是%这个字符,不做模糊查询处理;当然php也有函数去处理引号转义处理的,addslashes()函数就是做这个事情的,另外php配置文件中有一个magic_quotes_gpc()这个配置如果设置为on,则php在接受参数的时候, 会自动的给',",\,null加上\进行转义;具体详细使用方法我这里就不多说了, 前面的链接里面也是有的, 百度也很容易查到;

    先就总结这几点吧 , 后面用到别的再加;

    哎...今天够累的,签到来了1...
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|手机版|小黑屋|Java自学者论坛 ( 声明:本站文章及资料整理自互联网,用于Java自学者交流学习使用,对资料版权不负任何法律责任,若有侵权请及时联系客服屏蔽删除 )

    GMT+8, 2024-11-23 16:20 , Processed in 1.063031 second(s), 29 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2021, Tencent Cloud.

    快速回复 返回顶部 返回列表