位置: 编程技术 - 正文

php防止sql注入的方法详解(php防止sql注入的方法)

编辑:rootadmin

推荐整理分享php防止sql注入的方法详解(php防止sql注入的方法),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:php提供哪些函数来避免sql注入,php防止sql注入的最佳方式,php 防注入,php防止sql注入的函数,php防止sql注入的最佳方式,php防止sql注入的方法,php防止sql注入的最佳方式,php防止sql注入的方法有哪些,内容如对您有帮助,希望把文章链接给更多的朋友!

一、什么是SQL注入式攻击&#;

所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:

⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。

⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:

⑶ 攻击者在用户名字和密码输入框中输入"'或'1'='1"之类的内容。

⑷ 用户输入的内容提交给服务器之后,服务器运行上面的ASP.NET代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'.

⑸ 服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比。

⑹ 由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。

系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。

php防止sql注入的方法详解(php防止sql注入的方法)

二、如何防范&#;

好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。

(1)对于动态构造SQL查询的场合,可以使用下面的技术:

第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。

第二:删除用户输入内容中的所有连字符,防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' —— AND password =''”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。

第三:对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。

(2)用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。

(3)限制表单或查询字符串输入的长度。如果用户的登录名字最多只有个字符,那么不要认可表单中输入的个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。

(4)检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。

在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如RegularExpressionValidator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,你可以通过CustomValidator自己创建一个。

(5) 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个HashPasswordForStoringInConfigFile,非常适合于对输入数据进行消毒处理。

(6) 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当作出错处理。

(7)使用预处理语句

标签: php防止sql注入的方法

本文链接地址:https://www.jiuchutong.com/biancheng/293819.html 转载请保留说明!

上一篇:php获取给定日期相差天数的方法分析(php获取给定日期函数)

下一篇:微信公众号开发之通过接口删除菜单(西安微信公众号开发)

  • 如何理解递延所得税费用的计算公式
  • 应税所得率表
  • 公司注销员工的人身损害赔偿
  • 计入投资收益的手续费
  • 金蝶k3怎么样新增账套
  • 土地增值税计入固定资产清理
  • 哪些进项税额可以转出
  • 分期付款方式销售货物什么时候确认收入
  • 员工宿舍免征房产税
  • 加油站汽油损耗多少
  • 减免税款怎么入账
  • 本月发放上月工资情况说明
  • 金税盘清卡晚了一天会怎么样
  • 自行建造厂房一座,现已完工,经验收后交付费用
  • 利用发票管税的意义
  • 为什么电脑上找不到蓝牙耳机
  • 房屋修缮发票能补开吗
  • 月销售额不超10万,免征教育费附加分录
  • 正常消耗的直接材料计入当期损益
  • 权利许可证照印花税每个月都要交吗
  • 收到预收款项
  • 以前年度多计提的税金怎么调整
  • 怎么获取win10密钥
  • CENTOS7安装报错
  • windows7电脑时间不对
  • 进程process
  • 应付票据核算的票据包括
  • 汇兑差额如何计算
  • 带你看看房间英语怎么写
  • 如何写煎荷包蛋过程
  • 开发的php程序如何发布
  • 谈谈社会公德普通话三分钟
  • linux中suid
  • css添加边框阴影 立体效果
  • 发票 技术服务
  • 证券公司代理发行
  • 汇兑损益的会计处理原则
  • 财政总预算会计的主体是
  • 减免税在借方如何结转
  • 个人社保进费用,还要报个税么
  • 前端日报
  • cms采集网站
  • 资产负债表的负债项目显示了企业所负担债务的
  • 购买牵引车和挂车购车流程
  • 其他应收款资产类
  • 厂房办公用品费用怎么算
  • 新办企业小规模纳税人多久可以申请发票增量
  • 报税残疾人保障费怎么算
  • 一般纳税人增值税结转账务处理
  • 残疾人就业保障金怎么计算
  • 个人咨询费发票怎么开
  • 进项税已认证未缴纳
  • 税费的审计
  • 新开办的企业怎么做账
  • 工程施工企业外管证怎么办理
  • 现金折扣和商业折扣怎么确定收入
  • 公司的软件服务器设置什么意思啊
  • 破产重整期间转让股权
  • 租办公楼有什么讲究
  • 待抵扣进项税额借贷方向
  • 为什么总成本费用不变
  • sqlserverssms
  • mysql的innodb和myisam
  • win8 win8.1
  • win10预览版好用吗
  • vmwareworkstation10虚拟机
  • centos设置服务自启动
  • linux如何操作数据库
  • centos如何删除bond
  • linux如何查看防火墙配置
  • 使用jquery操作dom
  • jquery简单例子
  • bat ping批处理
  • javascript教程chm
  • python数据结构教程
  • 浏览器窗口上线怎么办
  • javascript用处
  • pageoffice控件安装不上
  • 青海税务app怎么开票
  • 增值税率下降
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设