php防止注入

㈠ php网站怎么sql注入有没有破解防御的方法

网站的运行安全肯定是每个站长必须考虑的问题，大家知道，大多数黑客攻击网站都是采用sql注入，这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范，防止自己的网站被sql注入。
如今主流的网站开发语言还是php，那我们就从php网站如何防止sql注入开始说起：
Php注入的安全防范通过上面的过程，我们可以了解到php注入的原理和手法，当然我们也同样可以制定出相应该的防范方法：
首先是对服务器的安全设置，这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On，display_errors设置为Off，如果id型，我们利用intval()将其转换成整数类型，如代码：
$id=intval($id);
mysql_query=”select *from example where articieid=’$id’”;或者这样写：mysql_query(”SELECT * FROM article WHERE articleid=”.intval($id).”")
如果是字符型就用addslashes()过滤一下，然后再过滤”%”和”_”如：
$search=addslashes($search);
$search=str_replace(“_”,”\_”,$search);
$search=str_replace(“%”,”\%”,$search);
当然也可以加php通用防注入代码：
/*************************
PHP通用防注入安全代码
说明：
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能：
防注入
**************************/
//要过滤的非法字符
$ArrFiltrate=array(”‘”,”;”,”union”);
//出错后要跳转的url,不填则默认前一页
$StrGoUrl=”";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
if (eregi($value,$StrFiltrate)){
return true;
}
}
return false;
}
//合并$_POST 和 $_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
}
//验证开始
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo “alert(/”Neeao提示，非法字符/”);”;
if (empty($StrGoUrl)){
echo “history.go(-1);”;
}else{
echo “window.location=/”".$StrGoUrl.”/”;”;
}
exit;
}
}
?>
/*************************
保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可
**************************/
另外将管理员用户名和密码都采取md5加密，这样就能有效地防止了php的注入。
还有服务器和mysql也要加强一些安全防范。
对于linux服务器的安全设置：
加密口令，使用“/usr/sbin/authconfig”工具打开密码的shadow功能，对password进行加密。
禁止访问重要文件，进入linux命令界面，在提示符下输入：
#chmod 600 /etc/inetd.conf //改变文件属性为600
#chattr +I /etc/inetd.conf //保证文件属主为root
#chattr –I /etc/inetd.conf // 对该文件的改变做限制
禁止任何用户通过su命令改变为root用户
在su配置文件即/etc/pam.d/目录下的开头添加下面两行:
Auth sufficient /lib/security/pam_rootok.so debug
Auth required /lib/security/pam_whell.so group=wheel
删除所有的特殊帐户
#userdel lp等等 删除用户
#groupdel lp等等 删除组
禁止不使用的suid/sgid程序
#find / -type f \(-perm -04000 - o –perm -02000 \) \-execls –lg {} \;

㈡ php如何防止sql注入

PHP防止sql注入是一个比较低级的问题了，这个问题其实在我大一上学期做第一个个人博客的时候就已经关注过了，不过乎槐简单的说一下关于PHP防注入的方式吧。

对于现在的防注入技术其实已经成熟亏备了，对于一个站点该关心的不是防注入了，而是大规模高并发如何处理的问题，或者关于各种其他漏洞，比如现在世界上仍然有百分之80使用redis的站点存在redis漏洞，通过redis漏洞可以直接拿到机器的访问权限，一般来说都是直接给你种一个挖矿机器人来。

㈢ 求php防止被sql 注入攻击的过滤用户输入内容的函数

functionclean($v){
//判断magic_quotes_gpc是否为打开
if(!get_magic_quotes_gpc()){
//进行magic_quotes_gpc没有打开的情况对提交数据的过滤
$v=addslashes($v);
}
//把'_'过滤掉
$v=str_replace("_","\_",$v);
//把'%'过滤掉
$v=str_replace("%","\%",$v);
//把'*'过滤掉
$v=str_replace("*","*",$v);
//回车转换
$v=nl2br($v);
//html标记转换
$v=htmlspecialchars($v);
return$v;
}

如果需要，还可以屏蔽一下危险字符，例如insert， update， delete等

//将update去掉
$v=str_replace("update","",$v);

最后，在拼装sql语句时，用户输入的东西，全括在单引号内

㈣ 谁能给我这一个php防sql注入的函数啊，功能越强大越好

functioninject_check($Sql_Str){//自动过滤Sql的注入语句。
	$check=preg_match('/select|insert|update|delete|'|\*|*|../|./|union|into|load_file|outfile/i',$Sql_Str);
	if($check){
		echo'<scriptlanguage="JavaScript">alert("系统警告：

请不要尝试在参数中包含非法字符尝试注入！");</script>';
		exit();
	}else{
		return$Sql_Str;
	}
}

我这个是自己写的，通过正则判断是否含有危险关键字，希望采纳。

㈤ php防止sql注入示例分析和几种常见攻击正则

functioncustomError($errno,$errstr,$errfile,$errline)
{
echo"Errornumber:[$errno],erroronline$errlinein$errfile
";
die();
}
set_error_handler("customError",E_ERROR);
$getfilter="'|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
$postfilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
$cookiefilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
functionStopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq)
{
if(is_array($StrFiltValue))
{
$StrFiltValue=implode($StrFiltValue);
}
if(preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1&&!isset($_REQUEST['securityToken']))
{
slog("

操作IP:".$_SERVER["REMOTE_ADDR"]."
操作时间:".strftime("%Y-%m-%d%H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式:".$_SERVER["REQUEST_METHOD"]."
提交参数:".$StrFiltKey."
提交数据:".$StrFiltValue);
print"resultnotice:Illegaloperation!";
exit();
}
}
foreach($_GETas$key=>$value)
{
StopAttack($key,$value,$getfilter);
}
foreach($_POSTas$key=>$value)
{
StopAttack($key,$value,$postfilter);
}
foreach($_COOKIEas$key=>$value)
{
StopAttack($key,$value,$cookiefilter);
}

functionslog($logs)
{
$toppath="log.htm";
$Ts=fopen($toppath,"a+");
fputs($Ts,$logs."
");
fclose($Ts);
}
?>

㈥ php如何防止sql注入

防止SQL注入的关键在于避免直接将用户的输入插入到SQL查询字符串中，因为这样使得攻击者能够操纵查询，从而进行注入攻击。例如，如果用户输入的是 `'); DROP TABLE table;--`，那么最终的SQL语句将变成 `DROP TABLE table;`，这将导致表被删除。

要避免这种情况，需要采用准备语句和参数化查询。这种方法将SQL语句和参数分开发送和解析，攻击者无法利用注入来执行恶意SQL。以下是两种实现方式：

首先，可以使用MySQLi扩展。

如果你使用的是非MySQL数据库，例如PostgreSQL，可以通过使用`pg_prepare()`和`pg_execute()`方法实现类似功能。PDO（PHP Data Objects）则提供了更广泛的兼容性。

在设置数据库连接时，确保关闭准备模拟选项，以确保真正的SQL语句准备和参数分离。例如，如下代码展示了如何正确设置连接：

设置错误模式为推荐的，以便在遇到问题时提供有用的错误信息。

重点在于设置`PDO`属性为不模拟准备语句，而是真正准备语句。这样，PHP不会自行解析SQL，而是将SQL语句发送给MySQL服务器，防止了攻击者注入恶意SQL。

值得注意的是，某些老版本的PHP（<5.3.6）会忽略DSN中的字符集参数。

通过参数化查询，SQL语句与参数分离。这样，参数和编译过的语句结合，而不是与SQL字符串结合，避免了混淆参数和语句的攻击机制。例如，如果`$name`变量是 `'Sarah'; DELETE FROM employees`，实际执行的SQL语句将为 `'Sarah'; DELETE FROM employees'`，而不是删除整个表。这保证了数据安全。

另一个优势是，对于重复执行的相同查询，SQL语句只需编译一次，可以提高执行效率。

对于需要执行动态查询的场景，最好采用白名单限制输入。准备语句仅用于准备参数，查询结构不能改变。