>백엔드 개발 >PHP 문제 >PHP 안티 SQL 주입 원리

PHP 안티 SQL 주입 원리

(*-*)浩
(*-*)浩원래의
2019-10-26 13:18:162513검색

SQL 주입: 웹 양식 제출에 SQL 명령을 삽입하거나 도메인 이름 또는 페이지 요청에 대한 쿼리 문자열을 입력하여 궁극적으로 서버를 속여 악성 SQL 명령을 실행하게 합니다.

PHP 안티 SQL 주입 원리

준비된 명령문은 SQL 주입에 매우 유용합니다. 매개변수 값이 전송된 후 다른 프로토콜을 사용하여 데이터의 적법성을 보장하기 때문입니다. 전처리는 실행하려는 SQL의 컴파일된 템플릿으로 표시되며, 이는 변수 매개변수를 사용하여 사용자 정의할 수 있습니다. (권장 학습: PHP 비디오 튜토리얼)

방어 방법 1

mysql_real_escape_string – 연결의 현재 문자 집합을 고려하여 SQL 문에 사용된 문자열의 특수 문자를 이스케이프하세요!

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";

방법 2:

magic_quotes_gpc를 열어 SQL 삽입을 방지하세요. php.ini에는 Magic_quotes_gpc =

Off라는 설정이 있습니다. 이는 기본적으로 꺼져 있습니다. 켜져 있으면 '를'로 변환하는 등 사용자가 제출한 SQL 쿼리를 자동으로 변환합니다. SQL 주입을 방지하는 데 중요한 역할을 합니다.

magic_quotes_gpc=Off인 경우 addlashes() 함수를 사용하세요.

방법 3:

맞춤 기능

function check_param($value=null) { 
 #select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile
$str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
if(!$value) {
        exit('没有参数!'); 
    }elseif(eregi($str, $value)) { 
        exit('参数非法!');
    } return true; 

} 
function str_check( $value ) {
   if(!get_magic_quotes_gpc()) { 
   // 进行过滤 
   $value = addslashes($value); 
   } 
   $value = str_replace("_", "\_", $value); 
  $value = str_replace("%", "\%", $value); 
   return $value; 

} 
function post_check($value) { 
        if(!get_magic_quotes_gpc()) {
    
  // 进行过滤  
            $value = addslashes($value);
        } 
        $value = str_replace("_", "\_", $value); 
        $value = str_replace("%", "\%", $value); 
        $value = nl2br($value); 
        $value = htmlspecialchars($value); 
        return $value; 
    }

위 내용은 PHP 안티 SQL 주입 원리의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.