位置: 编程技术 - 正文
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
编辑:rootadmin推荐整理分享php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击,希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
php防止SQL注入攻击一般有三种方法:
使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param()本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。
mysql_real_escape_string防sql注入攻击
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:
当输入name值为name=%bf%%or%sleep%.%%3d0%limit%%时,sql语句输出为:
这时候引发SQL注入攻击。
下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:
addslashes防sql注入攻击
国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf来代替单引号,而addslashes只是将0xbf修改为0xbf5c,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。
addslashes会自动给单引号,双引号增加,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:
mysql bind_param()绑定参数防止SQL注入攻击
什么叫绑定参数,给大家举个例子:
你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.
下面我简单的写一下这个函数:
注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可
通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..
我们来做一个实验:
可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况
可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.
总结:
上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
ThinkPHP 整合Bootstrap Ajax分页样式 ThinkPHPAjax分页代码publicfunctionindex(){$where=array();$name=I('name');if(!empty($name)){$where['name']=array('like','%'.(string)$name.'%');}$Role=M('Role');$count=$Role-where($where)-count();//
如何判断php mysqli扩展类是否开启 如何判断phpmysqli扩展类是否开启php判断mysqli扩展类是否开启,源码如下:php/*
php 反斜杠处理函数addslashes()和stripslashes()实例详解 php反斜杠处理函数addslashes():对输入字符串中的某些预定义字符前添加反斜杠,这样处理是为了数据库查询语句等的需要。这些预定义字符是:单引号('
标签: php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
本文链接地址:https://www.jiuchutong.com/biancheng/297070.html 转载请保留说明!
