php过滤注入
防止SQL注入
opensns
对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入,要有效的防止SQL注入问题,我们建议:
查询条件尽量使用数组方式,这是更为安全的方式;
如果不得已必须使用字符串查询条件,使用预处理机制(3.1版本新增特性);
开启数据字段类型验证,可以对数值数据类型做强制转换;(3.1版本开始已经强制进行字段类型验证了)
使用自动验证和自动完成机制进行针对应用的自定义过滤;
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。
㈡ php防sql注入漏洞可以用什么函数
1.函数的构建
function inject_check($sql_str) {
return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤
}
function verify_id($id=null) {
if (!$id) { exit('没有提交参数!'); } // 是否为空判断
elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断
elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断
$id = intval($id); // 整型化
return $id;
}?
function str_check( $str ) {
if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开
$str = addslashes($str); // 进行过滤
}
$str = str_replace("_", "\_", $str); // 把 '_'过滤掉
$str = str_replace("%", "\%", $str); // 把 '%'过滤掉
return $str;
}
function post_check($post) {
if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉
$post = str_replace("%", "\%", $post); // 把 '%'过滤掉
$post = nl2br($post); // 回车转换
$post = htmlspecialchars($post); // html标记转换
return $post;
}
2.函数的使用实例
<?php
if (inject_check($_GET['id']))
{
exit('你提交的数据非法,请检查后重新提交!');
}
else
{
$id = $_GET['id'];
//处理数据………………
}
?>
㈢ php如何防止sql注入
PHP防止sql注入是一个比较低级的问题了,这个问题其实在我大一上学期做第一个个人博客的时候就已经关注过了,不过乎槐简单的说一下关于PHP防注入的方式吧。
对于现在的防注入技术其实已经成熟亏备了,对于一个站点该关心的不是防注入了,而是大规模高并发如何处理的问题,或者关于各种其他漏洞,比如现在世界上仍然有百分之80使用redis的站点存在redis漏洞,通过redis漏洞可以直接拿到机器的访问权限,一般来说都是直接给你种一个挖矿机器人来。
㈣ 谁能给我这一个php防sql注入的函数啊,功能越强大越好
functioninject_check($Sql_Str){//自动过滤Sql的注入语句。
$check=preg_match('/select|insert|update|delete|'|\*|*|../|./|union|into|load_file|outfile/i',$Sql_Str);
if($check){
echo'<scriptlanguage="JavaScript">alert("系统警告:
请不要尝试在参数中包含非法字符尝试注入!");</script>';
exit();
}else{
return$Sql_Str;
}
}我这个是自己写的,通过正则判断是否含有危险关键字,希望采纳。
㈤ php如何防止sql注入
防止SQL注入的关键在于避免直接将用户的输入插入到SQL查询字符串中,因为这样使得攻击者能够操纵查询,从而进行注入攻击。例如,如果用户输入的是 `'); DROP TABLE table;--`,那么最终的SQL语句将变成 `DROP TABLE table;`,这将导致表被删除。
要避免这种情况,需要采用准备语句和参数化查询。这种方法将SQL语句和参数分开发送和解析,攻击者无法利用注入来执行恶意SQL。以下是两种实现方式:
首先,可以使用MySQLi扩展。
如果你使用的是非MySQL数据库,例如PostgreSQL,可以通过使用`pg_prepare()`和`pg_execute()`方法实现类似功能。PDO(PHP Data Objects)则提供了更广泛的兼容性。
在设置数据库连接时,确保关闭准备模拟选项,以确保真正的SQL语句准备和参数分离。例如,如下代码展示了如何正确设置连接:
设置错误模式为推荐的,以便在遇到问题时提供有用的错误信息。
重点在于设置`PDO`属性为不模拟准备语句,而是真正准备语句。这样,PHP不会自行解析SQL,而是将SQL语句发送给MySQL服务器,防止了攻击者注入恶意SQL。
值得注意的是,某些老版本的PHP(<5.3.6)会忽略DSN中的字符集参数。
通过参数化查询,SQL语句与参数分离。这样,参数和编译过的语句结合,而不是与SQL字符串结合,避免了混淆参数和语句的攻击机制。例如,如果`$name`变量是 `'Sarah'; DELETE FROM employees`,实际执行的SQL语句将为 `'Sarah'; DELETE FROM employees'`,而不是删除整个表。这保证了数据安全。
另一个优势是,对于重复执行的相同查询,SQL语句只需编译一次,可以提高执行效率。
对于需要执行动态查询的场景,最好采用白名单限制输入。准备语句仅用于准备参数,查询结构不能改变。
㈥ thinkphp怎么做才是安全的sql防注入
主要的sql注入来源于数据请求。比如表单的提交。攻击者会在请求中带上一些可执行的sql语句。达到注入的目的。
Thinkphp内置了数据过滤机制。可以有效的将一些存在风险的符号过滤处理。具体如下:
1、Thinkphp3.2版本:
使用I方法来获取post、get等参数。例如获取id参数。
I('get.id');
I('post.id');2、Thinkphp5.0版本:
由于5.0版本将单字母方法取消了,取而代之的是一些语义更明确的方法名,I方法对应的是input方法。所有使用input方法来获取post、get等参数。例如获取id参数。
input('get.id');
input('post.id');更多案例可以查看Thinkphp官方文档。
㈦ ThinkPHP如何防止SQL注入
(1)查询条件尽量使用数组方式,这是更为安全的方式;
(2)如果不得已必须使用字符串查询条件,使用预处理机制;
(3)使用绑定参数;
(4)强制进行字段类型验证,可以对数值数据类型做强制转换;
(5)使用自动验证和自动完成机制进行针对应用的自定义过滤;
(6)使用字段类型检查、自动验证和自动完成机制等避免恶意数据的输入;
(7)做一些过滤。