亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

PHP防范SQL注入的具體方法詳解(測(cè)試通過(guò))

 更新時(shí)間:2014年05月09日 15:36:36   作者:  
PHP防范SQL注入是一個(gè)非常重要的安全手段。相信大家對(duì)這一安全防范方法還不是很了解,希望通過(guò)本文介紹的內(nèi)容大家能夠充分掌握這一知識(shí)點(diǎn)

一個(gè)優(yōu)秀的PHP程序員除了要能順利的編寫代碼,還需要具備使程序處于安全環(huán)境下的能力。今天我們要向大家講解的是有關(guān)PHP防范SQL注入的相關(guān)方法。

說(shuō)到網(wǎng)站安全就不得不提到SQL注入(SQL Injection),如果你用過(guò)ASP,對(duì)SQL注入一定有比較深的理解,PHP的安全性相對(duì)較高,這是因?yàn)镸YSQL4以下的版本不支持子語(yǔ)句,而且當(dāng)php.ini里的 magic_quotes_gpc 為On 時(shí)。

提交的變量中所有的 ' (單引號(hào)), " (雙引號(hào)), \ (反斜線) and 空字符會(huì)自動(dòng)轉(zhuǎn)為含有反斜線的轉(zhuǎn)義字符,給SQL注入帶來(lái)不少的麻煩。

請(qǐng)看清楚:“麻煩”而已~這并不意味著PHP防范SQL注入,書中就講到了利用改變注入語(yǔ)句的編碼來(lái)繞過(guò)轉(zhuǎn)義的方法,比如將SQL語(yǔ)句轉(zhuǎn)成ASCII編碼(類似:char(100,58,92,108,111,99,97,108,104,111,115,116…)這樣的格式),或者轉(zhuǎn)成16進(jìn)制編碼,甚至還有其他形式的編碼,這樣以來(lái),轉(zhuǎn)義過(guò)濾便被繞過(guò)去了,那么怎樣防范呢:

a. 打開magic_quotes_gpc或使用addslashes()函數(shù)

在新版本的PHP中,就算magic_quotes_gpc打開了,再使用addslashes()函數(shù),也不會(huì)有沖突,但是為了更好的實(shí)現(xiàn)版本兼容,建議在使用轉(zhuǎn)移函數(shù)前先檢測(cè)magic_quotes_gpc狀態(tài),或者直接關(guān)掉,代碼如下:

PHP防范SQL注入的代碼

復(fù)制代碼 代碼如下:

// 去除轉(zhuǎn)義字符  
function stripslashes_array($array) {  
if (is_array($array)) {  
foreach ($array as $k => $v) {  
$array[$k] = stripslashes_array($v);  
}  
} else if (is_string($array)) {  
$array = stripslashes($array);  
}  
return $array;  
}  
@set_magic_quotes_runtime(0);  
// 判斷 magic_quotes_gpc 狀態(tài)  
if (@get_magic_quotes_gpc()) {  
$_GET = stripslashes_array($_GET);  
$_POST = stripslashes_array($_POST);  
$_COOKIE = stripslashes_array($_COOKIE);  
}

去除magic_quotes_gpc的轉(zhuǎn)義之后再使用addslashes函數(shù),代碼如下:

PHP防范SQL注入的代碼

復(fù)制代碼 代碼如下:

$keywords = addslashes($keywords);
$keywords = str_replace("_","\_",$keywords);//轉(zhuǎn)義掉”_”
$keywords = str_replace("%","\%",$keywords);//轉(zhuǎn)義掉”%”

后兩個(gè)str_replace替換轉(zhuǎn)義目的是防止黑客轉(zhuǎn)換SQL編碼進(jìn)行攻擊。

b. 強(qiáng)制字符格式(類型)

在很多時(shí)候我們要用到類似xxx.php?id=xxx這樣的URL,一般來(lái)說(shuō)$id都是整型變量,為了防范攻擊者把$id篡改成攻擊語(yǔ)句,我們要盡量強(qiáng)制變量,代碼如下:

PHP防范SQL注入的代碼

$id=intval($_GET['id']);

當(dāng)然,還有其他的變量類型,如果有必要的話盡量強(qiáng)制一下格式。

c. SQL語(yǔ)句中包含變量加引號(hào)

這一點(diǎn)兒很簡(jiǎn)單,但也容易養(yǎng)成習(xí)慣,先來(lái)看看這兩條SQL語(yǔ)句:

SQL代碼

復(fù)制代碼 代碼如下:

SELECT * FROM article WHERE articleid='$id'
SELECT * FROM article WHERE articleid=$id

兩種寫法在各種程序中都很普遍,但安全性是不同的,第一句由于把變量$id放在一對(duì)單引號(hào)中,這樣使得我們所提交的變量都變成了字符串,即使包含了正確的SQL語(yǔ)句,也不會(huì)正常執(zhí)行,而第二句不同,由于沒(méi)有把變量放進(jìn)單引號(hào)中,那我們所提交的一切,只要包含空格,那空格后的變量都會(huì)作為SQL語(yǔ)句執(zhí)行,因此,我們要養(yǎng)成給SQL語(yǔ)句中變量加引號(hào)的習(xí)慣。

d.URL偽靜態(tài)化

URL偽靜態(tài)化也就是URL重寫技術(shù),像Discuz!一樣,將所有的URL都rewrite成類似xxx-xxx-x.html格式,既有利于SEO,又達(dá)到了一定的安全性,也不失為一個(gè)好辦法。但要想實(shí)現(xiàn)PHP防范SQL注入,前提是你得有一定的“正則”基礎(chǔ)。

相關(guān)文章

  • php使用GD2繪制幾何圖形示例

    php使用GD2繪制幾何圖形示例

    這篇文章主要介紹了php使用GD2繪制幾何圖形,結(jié)合實(shí)例形式分析了GD2繪圖所涉及的常用函數(shù)與具體使用技巧,需要的朋友可以參考下
    2017-02-02
  • php小技巧 把數(shù)組的鍵和值交換形成了新的數(shù)組,查找值取得鍵

    php小技巧 把數(shù)組的鍵和值交換形成了新的數(shù)組,查找值取得鍵

    php小技巧--把數(shù)組的鍵和值交換形成了新的數(shù)組,查找值取得鍵的實(shí)現(xiàn)方法。
    2011-06-06
  • PHP設(shè)計(jì)模式之解釋器模式的深入解析

    PHP設(shè)計(jì)模式之解釋器模式的深入解析

    本篇文章是對(duì)PHP設(shè)計(jì)模式中的解釋器模式進(jìn)行了詳細(xì)的分析介紹,需要的朋友參考下
    2013-06-06
  • php采集自中央氣象臺(tái)范圍覆蓋全國(guó)的天氣預(yù)報(bào)代碼實(shí)例

    php采集自中央氣象臺(tái)范圍覆蓋全國(guó)的天氣預(yù)報(bào)代碼實(shí)例

    這篇文章主要介紹了php采集自中央氣象臺(tái)范圍覆蓋全國(guó)的天氣預(yù)報(bào)代碼實(shí)例,較為詳細(xì)的分析了采集的技巧及對(duì)應(yīng)接口的調(diào)用技巧,具有一定參考借鑒價(jià)值,需要的朋友可以參考下
    2015-01-01
  • PHP的攔截器實(shí)例分析

    PHP的攔截器實(shí)例分析

    這篇文章主要介紹了PHP的攔截器,以實(shí)例形式分析了常見的各類攔截器的用法,非常具有實(shí)用價(jià)值,需要的朋友可以參考下
    2014-11-11
  • 最新評(píng)論