Heim  >  Artikel  >  Backend-Entwicklung  >  问下这样做是否有可能被注入如何防

问下这样做是否有可能被注入如何防

WBOY
WBOYOriginal
2016-06-13 13:26:57913Durchsuche

问下这样做是否有可能被注入怎么防
我页面用这样的方法接受来路地址 


url.php里面直接用的 $url=$_GET["url"];来接受来访域名信息

这样是否有安全漏洞 怎么去弥补漏洞 麻烦各位给写个正则或其他办法吧

------解决方案--------------------
SQL注入是非常常见的一个网站漏洞,想要阻止SQL注入可以建立一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中,并且针对用户输入的每一项调用这个函数。当然,我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中,从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类;在本篇中,我们正要讨论其中的一些。

进行这种抽象至少存在三个优点(而且每一个都会改进安全级别):

1. 本地化代码。
2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。
3. 当基于安全特征进行构建并且恰当使用时,这将会有效地防止我们前面所讨论的各种各样的注入式攻击。

改进现有的应用程序

如果你想改进一个现有的应用程序,则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示:

function safe( $string ) {
 return "'" . mysql_real_escape_string( $string ) . "'"
}
看看sql注入的一些文章:
http://www.phpnewer.com/index.php/Public/IndexSearch/keyword/sql%E6%B3%A8%E5%85%A5

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn