防止sql注入的函數php
functioncustomError($errno,$errstr,$errfile,$errline)
{
echo"Errornumber:[$errno],erroronline$errlinein$errfile
";
die();
}
set_error_handler("customError",E_ERROR);
$getfilter="'|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
$postfilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
$cookiefilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
functionStopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq)
{
if(is_array($StrFiltValue))
{
$StrFiltValue=implode($StrFiltValue);
}
if(preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1&&!isset($_REQUEST['securityToken']))
{
slog("
操作IP:".$_SERVER["REMOTE_ADDR"]."
操作時間:".strftime("%Y-%m-%d%H:%M:%S")."
操作頁面:".$_SERVER["PHP_SELF"]."
提交方式:".$_SERVER["REQUEST_METHOD"]."
提交參數:".$StrFiltKey."
提交數據:".$StrFiltValue);
print"resultnotice:Illegaloperation!";
exit();
}
}
foreach($_GETas$key=>$value)
{
StopAttack($key,$value,$getfilter);
}
foreach($_POSTas$key=>$value)
{
StopAttack($key,$value,$postfilter);
}
foreach($_COOKIEas$key=>$value)
{
StopAttack($key,$value,$cookiefilter);
}
functionslog($logs)
{
$toppath="log.htm";
$Ts=fopen($toppath,"a+");
fputs($Ts,$logs." ");
fclose($Ts);
}
?>
㈡ php防sql注入漏洞可以用什麼函數
1.函數的構建
function inject_check($sql_str) {
return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 進行過濾
}
function verify_id($id=null) {
if (!$id) { exit('沒有提交參數!'); } // 是否為空判斷
elseif (inject_check($id)) { exit('提交的參數非法!'); } // 注射判斷
elseif (!is_numeric($id)) { exit('提交的參數非法!'); } // 數字判斷
$id = intval($id); // 整型化
return $id;
}?
function str_check( $str ) {
if (!get_magic_quotes_gpc()) { // 判斷magic_quotes_gpc是否打開
$str = addslashes($str); // 進行過濾
}
$str = str_replace("_", "\_", $str); // 把 '_'過濾掉
$str = str_replace("%", "\%", $str); // 把 '%'過濾掉
return $str;
}
function post_check($post) {
if (!get_magic_quotes_gpc()) { // 判斷magic_quotes_gpc是否為打開
$post = addslashes($post); // 進行magic_quotes_gpc沒有打開的情況對提交數據的過濾
}
$post = str_replace("_", "\_", $post); // 把 '_'過濾掉
$post = str_replace("%", "\%", $post); // 把 '%'過濾掉
$post = nl2br($post); // 回車轉換
$post = htmlspecialchars($post); // html標記轉換
return $post;
}
2.函數的使用實例
<?php
if (inject_check($_GET['id']))
{
exit('你提交的數據非法,請檢查後重新提交!');
}
else
{
$id = $_GET['id'];
//處理數據………………
}
?>
㈢ php如何防止sql注入
PHP防止sql注入是一個比較低級的問題了,這個問題其實在我大一上學期做第一個個人博客的時候就已經關注過了,不過乎槐簡單的說一下關於PHP防注入的方式吧。
對於現在的防注入技術其實已經成熟虧備了,對於一個站點該關心的不是防注入了,而是大規模高並發如何處理的問題,或者關於各種其他漏洞,比如現在世界上仍然有百分之80使用redis的站點存在redis漏洞,通過redis漏洞可以直接拿到機器的訪問許可權,一般來說都是直接給你種一個挖礦機器人來。
㈣ 使用python如何防止sql注入的方法
前言web漏洞之首莫過於sql了,不管使用哪種語言進行web後端開發,只要使用了關系型資料庫,可能都會遇到sql注入攻擊問題。那麼在Python web開發的過程中sql注入是怎麼出現的呢,又是怎麼去解決這個問題的?
當然,我這里並不想討論其他語言是如何避免sql注入的,網上關於PHP防注入的各種方法都有,Python的方法其實類似,這里我就舉例來說說。
起因漏洞產生的原因最常見的就是字元串拼接了,當然,sql注入並不只是拼接一種情況,還有像寬位元組注入,特殊字元轉義等等很多種,這里就說說最常見的字元串拼接,這也是初級程序員最容易犯的錯誤。
首先咱們定義一個類來處理mysql的操作
class Database:
hostname = '127.0.0.1'
user = 'root'
password = 'root'
db = 'pythontab'
charset = 'utf8'
def init(self):
self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset)
self.cursor = self.connection.cursor()
def insert(self, query):
try:
self.cursor.execute(query)
self.connection.commit()
except Exception, e:
print e
self.connection.rollback()
def query(self, query):
cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
cursor.execute(query)
return cursor.fetchall()
def del(self):
self.connection.close()這個類有問題嗎?
答案是:有!
這個類是有缺陷的,很容易造成sql注入,下面就說說為何會產生sql注入。
為了驗證問題的真實性,這里就寫一個方法來調用上面的那個類裡面的方法,如果出現錯誤會直接拋出異常。
def test_query(testUrl):
mysql = Database()
try:
querySql = "SELECT * FROM `article` WHERE url='" + testUrl + "'"
chanels = mysql.query(querySql)
return chanels
except Exception, e:
print e這個方法非常簡單,一個最常見的select查詢語句,也使用了最簡單的字元串拼接組成sql語句,很明顯傳入的參數 testUrl 可控,要想進行注入測試,只需要在testUrl的值後面加上單引號即可進行sql注入測試,這個不多說,肯定是存在注入漏洞的,腳本跑一遍,看啥結果
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
回顯報錯,很眼熟的錯誤,這里我傳入的測試參數是
t.tips'
下面再說一種導致注入的情況,對上面的方法進行稍微修改後
def test_query(testUrl):
mysql = Database()
try:
querySql = ("SELECT * FROM `article` WHERE url='%s'" % testUrl)
chanels = mysql.query(querySql)
return chanels
except Exception, e:
print e這個方法裡面沒有直接使用字元串拼接,而是使用了 %s 來代替要傳入的參數,看起來是不是非常像預編譯的sql?那這種寫法能不能防止sql注入呢?測試一下便知道,回顯如下
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
和上面的測試結果一樣,所以這種方法也是不行的,而且這種方法並不是預編譯sql語句,那麼怎麼做才能防止sql注入呢?
解決兩種方案
1> 對傳入的參數進行編碼轉義
2> 使用Python的MySQLdb模塊自帶的方法
第一種方案其實在很多PHP的防注入方法裡面都有,對特殊字元進行轉義或者過濾。
第二種方案就是使用內部方法,類似於PHP裡面的PDO,這里對上面的資料庫類進行簡單的修改即可。
修改後的代碼
class Database:
hostname = '127.0.0.1'
user = 'root'
password = 'root'
db = 'pythontab'
charset = 'utf8'
def init(self):
self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset)
self.cursor = self.connection.cursor()
def insert(self, query, params):
try:
self.cursor.execute(query, params)
self.connection.commit()
except Exception, e:
print e
self.connection.rollback()
def query(self, query, params):
cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
cursor.execute(query, params)
return cursor.fetchall()
def del(self):
self.connection.close()這里 execute 執行的時候傳入兩個參數,第一個是參數化的sql語句,第二個是對應的實際的參數值,函數內部會對傳入的參數值進行相應的處理防止sql注入,實際使用的方法如下
preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"
mysql.insert(preUpdateSql, [title, date, content, aid])
這樣就可以防止sql注入,傳入一個列表之後,MySQLdb模塊內部會將列表序列化成一個元組,然後進行escape操作。
㈤ php 關於thinkphp的防sql注入跟過濾問題
防止SQL注入
opensns
對於WEB應用來說,SQL注入攻擊無疑是首要防範的安全問題,系統底層對於數據安全方面本身進行了很多的處理和相應的防範機制,例如:
$User = M("User"); // 實例化User對象
$User->find($_GET["id"]);
即便用戶輸入了一些惡意的id參數,系統也會強制轉換成整型,避免惡意注入。這是因為,系統會對數據進行強制的數據類型檢測,並且對數據來源進行數據格式轉換。而且,對於字元串類型的數據,ThinkPHP都會進行escape_string處理(real_escape_string,mysql_escape_string)。
通常的安全隱患在於你的查詢條件使用了字元串參數,然後其中一些變數又依賴由客戶端的用戶輸入,要有效的防止SQL注入問題,我們建議:
查詢條件盡量使用數組方式,這是更為安全的方式;
如果不得已必須使用字元串查詢條件,使用預處理機制(3.1版本新增特性);
開啟數據欄位類型驗證,可以對數值數據類型做強制轉換;(3.1版本開始已經強制進行欄位類型驗證了)
使用自動驗證和自動完成機制進行針對應用的自定義過濾;
欄位類型檢查、自動驗證和自動完成機制我們在相關部分已經有詳細的描述。
查詢條件預處理
where方法使用字元串條件的時候,支持預處理(安全過濾),並支持兩種方式傳入預處理參數,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同樣支持預處理機制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。