PHP登录环节防止sql注入的方法浅析
php  /  管理员 发布于 6年前   116
在防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试的时候一下就攻破了你的数据库,下面我们来简单的介绍一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧。 比如以下一段登录的代码: 注意上面的sql语句,存在很大的安全隐患,如果使用以下万能密码和万能用户名,那么可以轻松进入页面: 很明显,针对这条sql语句的万能密码是: ***" or 1 = "1 正斜线* 表示后面的不执行,mysql支持union联合查询,因此直接查询出所有数据; 所以针对这条sql语句的万能用户名是:***" union select * from users/* 但是,此注入只针对代码中的sql语句,如果 上面的注入至少已经不管用了,不过方法是一样的; 另外还有一些博客会这样写if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败');mysql_select_db('test');mysql_set_charset('utf8');$sql = 'select * from test where username = "$username" and password = "$password"';$res = mysql_query($sql);if(mysql_num_rows($res)){header('Location:./home.php');}else{die('输入有误');}
$sql = 'select * from test where username = "***" and password = "***" or 1 = "1"';
$sql = 'select * from test where username ="***" union select * from users/* and password = "***"';
$sql = "select * from test where username = $username and password = $password";
在使用PDO之后,sql注入完全可以被避免,而且在这个快速开发的时代,框架横行,已然不用过多考虑sql注入问题了。
下面整理了两个防止sql注册函数/* 过滤所有GET过来变量 */foreach ($_GET as $get_key=>$get_var){if (is_numeric($get_var)) {$get[strtolower($get_key)] = get_int($get_var);} else {$get[strtolower($get_key)] = get_str($get_var);}}/* 过滤所有POST过来的变量 */foreach ($_POST as $post_key=>$post_var){if (is_numeric($post_var)) {$post[strtolower($post_key)] = get_int($post_var);} else {$post[strtolower($post_key)] = get_str($post_var);}}/* 过滤函数 *///整型过滤函数function get_int($number){return intval($number);}//字符串型过滤函数function get_str($string){if (!get_magic_quotes_gpc()) {return addslashes($string);}return $string;}
您可能感兴趣的文章:
123 在
Clash for Windows作者删库跑路了,github已404中评论 按理说只要你在国内,所有的流量进出都在监控范围内,不管你怎么隐藏也没用,想搞你分..原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..路人 在
php中使用hyperf框架调用讯飞星火大模型实现国内版chatgpt功能示例中评论 教程很详细,如果加个前端chatgpt对话页面就完美了..Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号