php網站如何防止sql注入？【上】-php教程-PHP中文網

首頁

後端開發

php教程

php網站如何防止sql注入？【上】

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2016 am 09:04 AM

網站的運作安全肯定是每個站長必須考慮的問題，大家知道，大多數駭客攻擊網站都是採用sql注入，這就是我們常說的為什麼？

最原始的靜態的網站反而是最安全的。今天我們來談談PHP注入的安全規範，防止自己的網站被sql注入。

如今主流的網站開發語言還是php，那我們就從php網站如何防止，那我們就從php網站如何防止

sql

注入開始說起：Php注入的安全防範透過上面的過程，我們可以了解到

php

注入的原理和手法，當然我們也同樣可以製定相應該的防範方法：首先是對伺服器的安全設置，這裡主要是php+mysql的安全設定和 linux主機的安全設定。對php+mysql注射的防範,先將magic_quotes_gpc設定為On，display_errsOff，如果id型，我們利用intval()將其轉換成整數型，如程式碼：

$idintval($id);

mysql_query”*fromexamplewherearticieid'$id'”; mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")

型就用addslashes()過濾一下，然後再過濾”%”和”_”如：

$searchaddslashlash>”如：

$searchaddslashlashes ($search);

$searchstr_replace(“_”,”_”,$search);

$searchstr_replace(“%”,”%”,$search); 當然也可以加

php

通用防注入程式碼：

/*************************

PHP

通用防注入安全代碼

說明：

判斷傳遞的變數中是否含有非法字元如

$_POST

、$_GET

功能：

防注入

**** **********************/

要過濾的非法字元

$ArrFiltratearray(”'”,”;”,”union”);//

出錯後要跳轉的

url,

不填則預設前一頁

$StrGoUrl」";

是否存在數組中的值

functionFunStringExist($StrFiltrate,$ArrFiltrate){

feach($ArrFiltrateas$key>$value){

if(eregi($value,$StrFiltrate)>{ 🎜>returntrue;

}

returnfalse;

}//合併$_POST

和

$_GET

if(function_exists(array_merge)){

$ArrPostAndGetarray_merge($HTHTTP_POST_VARS,$A$A.$A.S$A); >

feach($HTTP_POST_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

feach($HTHTTP ){

$ArrPostAndGet[]$value;

}

驗證開始feach($ArrPostAndGetas$key>$value){if(FunStringExist($value,$ArrFiltrate)){

echo「alert(/」Neeao提示，非法字元/」);」;

if(empty($StrGoUrl)){

echo「histy.go(-1);」;

}else{

echo「 window.location/”".$StrGoUrl.”/”;”;

}

exit;

}

/*************************

儲存為checkpostget .php

然後在每個php文件前加上include(「checkpostget.php「」checkpostget.php「

);

即可

**************************/另外將管理員用戶名和密碼都採取md5加密，這樣就能有效地防止了

php

的注入。還有伺服器和

mysql

也要加強一些安全防範。對於

linux

伺服器的安全設定：加密口令，使用「/usr/sbin/ authconfig」工具開啟密碼的shadow功能，對

passwd

加密。禁止存取重要文件，進入

linux

指令介面，在提示符號下輸入：

#chmod600/etc/inetd. conf//

改變檔案屬性為600

#chattr+I /etc/inetd.conf //

保證文件屬主為root #chattr

–

I /etc/inetd.conf //對此文件的變更做限制禁止任何使用者透過指令改變為root

使用者

在su設定檔即/etc/pam.d/

目錄下的開頭加入下面兩行

Auth sufficient /lib/security/pam_rootok.sodebug

Auth required /lib/security/pam_whell.Auth required /lib/security/pam_whell.Auth required /lib/security/pam_whell.

Auth required /lib/security/pam_whell。 >刪除所有的特殊帳號

#userdel lp

等等刪除使用者

#groupdellp

等等刪除群組

禁止不使用的suid/sgid

程式

#find/-typef(-perm-04000 -o–perm-020000)-execls–{ };

免費領取兄弟連php原創影片教學光碟，詳情諮詢官網客服：

http://www.lampbrother.net

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP：服務器端腳本語言的簡介Apr 16, 2025 am 12:18 AM

PHP是一種服務器端腳本語言，用於動態網頁開發和服務器端應用程序。 1.PHP是一種解釋型語言，無需編譯，適合快速開發。 2.PHP代碼嵌入HTML中，易於網頁開發。 3.PHP處理服務器端邏輯，生成HTML輸出，支持用戶交互和數據處理。 4.PHP可與數據庫交互，處理表單提交，執行服務器端任務。

PHP和網絡：探索其長期影響Apr 16, 2025 am 12:17 AM

PHP在過去幾十年中塑造了網絡，並將繼續在Web開發中扮演重要角色。 1)PHP起源於1994年，因其易用性和與MySQL的無縫集成成為開發者首選。 2)其核心功能包括生成動態內容和與數據庫的集成，使得網站能夠實時更新和個性化展示。 3)PHP的廣泛應用和生態系統推動了其長期影響，但也面臨版本更新和安全性挑戰。 4)近年來的性能改進，如PHP7的發布，使其能與現代語言競爭。 5)未來，PHP需應對容器化、微服務等新挑戰，但其靈活性和活躍社區使其具備適應能力。

為什麼要使用PHP？解釋的優點和好處Apr 16, 2025 am 12:16 AM

PHP的核心優勢包括易於學習、強大的web開發支持、豐富的庫和框架、高性能和可擴展性、跨平台兼容性以及成本效益高。 1)易於學習和使用，適合初學者；2)與web服務器集成好，支持多種數據庫；3)擁有如Laravel等強大框架；4)通過優化可實現高性能；5)支持多種操作系統；6)開源，降低開發成本。

揭穿神話：PHP真的是一種死語嗎？Apr 16, 2025 am 12:15 AM

PHP沒有死。 1)PHP社區積極解決性能和安全問題，PHP7.x提升了性能。 2)PHP適合現代Web開發，廣泛用於大型網站。 3)PHP易學且服務器表現出色，但類型系統不如靜態語言嚴格。 4)PHP在內容管理和電商領域仍重要，生態系統不斷進化。 5)通過OPcache和APC等優化性能，使用OOP和設計模式提升代碼質量。

PHP與Python辯論：哪個更好？Apr 16, 2025 am 12:03 AM

PHP和Python各有優劣，選擇取決於項目需求。 1)PHP適合Web開發，易學，社區資源豐富，但語法不夠現代，性能和安全性需注意。 2)Python適用於數據科學和機器學習，語法簡潔，易學，但執行速度和內存管理有瓶頸。

PHP的目的：構建動態網站Apr 15, 2025 am 12:18 AM

PHP用於構建動態網站，其核心功能包括：1.生成動態內容，通過與數據庫對接實時生成網頁；2.處理用戶交互和表單提交，驗證輸入並響應操作；3.管理會話和用戶認證，提供個性化體驗；4.優化性能和遵循最佳實踐，提升網站效率和安全性。

PHP：處理數據庫和服務器端邏輯Apr 15, 2025 am 12:15 AM

PHP在數據庫操作和服務器端邏輯處理中使用MySQLi和PDO擴展進行數據庫交互，並通過會話管理等功能處理服務器端邏輯。 1）使用MySQLi或PDO連接數據庫，執行SQL查詢。 2）通過會話管理等功能處理HTTP請求和用戶狀態。 3）使用事務確保數據庫操作的原子性。 4）防止SQL注入，使用異常處理和關閉連接來調試。 5）通過索引和緩存優化性能，編寫可讀性高的代碼並進行錯誤處理。