以下來談談SQL注入攻擊是如何實現的,又如何防範。
看這個例子:
複製程式碼 程式碼如下:
// supposed input
$name = "ilia'; DELETE FROMusers;"mg
$name = "ilia'; $name}'");
很明顯最後資料庫執行的命令是:
SELECT * FROM users WHERE name=ilia; DELETE FROM users
這就給資料庫帶來了災難性的後果–所有記錄都被刪除了。
不過如果你使用的資料庫是MySQL,那麼還好,mysql_query()函數不允許直接執行這樣的操作(不能單行進行多個語句操作),所以你可以放心。如果你使用的資料庫是SQLite或PostgreSQL,支援這樣的語句,那麼就將面臨滅頂之災了。
上面提到,SQL注入主要是提交不安全的資料給資料庫來達到攻擊目的。為了防止SQL注入攻擊,PHP自帶一個功能可以對輸入的字串進行處理,可以在較底層對輸入進行安全上的初步處理,也即Magic Quotes。 (php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項啟用,那麼輸入的字串中的單引號,雙引號和其它一些字元前將會被自動加上反斜線。
但Magic Quotes並不是一個很通用的解決方案,沒能屏蔽所有有潛在危險的字符,並且在許多伺服器上Magic Quotes並沒有被啟用。所以,我們還需要使用其它多種方法來防止SQL注入。
許多資料庫本身就提供這種輸入資料處理功能。例如PHP的MySQL操作函數中有一個叫做mysql_real_escape_string()的函數,可將特殊字元和可能造成資料庫操作出錯的字元轉義。
看這段程式碼:
複製程式碼 程式碼如下:
//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()); $name = mysql_real_escape_string($name);
}
mysql_query("SELECT * FROM users WHERE name='{$name}'");
,在我們使用資料庫所帶的功能之前要注意一下是否打開,就像上例那樣,否則兩次重複處理就會出錯。如果MQ已啟用,我們要把加上的去掉才得到真實資料。
除了對以上字串形式的資料進行預處理之外,儲存Binary資料到資料庫時,也要注意進行預處理。否則資料可能與資料庫本身的儲存格式相衝突,造成資料庫崩潰,資料記錄遺失,甚至遺失整個庫的資料。有些資料庫如 PostgreSQL,提供一個專門用來編碼二進位資料的函數pg_escape_bytea(),它可以對資料進行類似Base64那樣的編碼。
複製程式碼
程式碼如下:// for plain-text data use:
pg_escape_string($regular_strion); );
另一種情況下,我們也要採用這樣的機制。那就是資料庫系統本身不支援的多字節語言如中文,日文等。其中有些的ASCII範圍和二進位資料的範圍重疊。
不過對資料進行編碼將有可能導致像LIKE abc% 這樣的查詢語句失效。
以上就介紹了sql四捨五入 PHP與SQL注入攻擊防範小技巧,包括了sql四捨五入方面的內容,希望對PHP教程有興趣的朋友有所幫助。

PHP主要是過程式編程,但也支持面向對象編程(OOP);Python支持多種範式,包括OOP、函數式和過程式編程。 PHP適合web開發,Python適用於多種應用,如數據分析和機器學習。

PHP起源於1994年,由RasmusLerdorf開發,最初用於跟踪網站訪問者,逐漸演變為服務器端腳本語言,廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發,1991年首次發布,強調代碼可讀性和簡潔性,適用於科學計算、數據分析等領域。

PHP適合網頁開發和快速原型開發,Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發,語法簡單,適合快速開發。 2.Python語法簡潔,適用於多領域,庫生態系統強大。

PHP在現代化進程中仍然重要,因為它支持大量網站和應用,並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發,提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示:自PHP7.0起,允許在函數參數中指定基本數據類型,如int、float等。 2)返回類型提示:確保函數返回值類型的一致性。 3)聯合類型提示:自PHP8.0起,允許在函數參數或返回值中指定多個類型。 4)可空類型提示:允許包含null值,處理可能返回空值的函數。

PHP中使用clone關鍵字創建對象副本,並通過\_\_clone魔法方法定制克隆行為。 1.使用clone關鍵字進行淺拷貝,克隆對象的屬性但不克隆對象屬性內的對象。 2.通過\_\_clone方法可以深拷貝嵌套對象,避免淺拷貝問題。 3.注意避免克隆中的循環引用和性能問題,優化克隆操作以提高效率。

PHP適用於Web開發和內容管理系統,Python適合數據科學、機器學習和自動化腳本。 1.PHP在構建快速、可擴展的網站和應用程序方面表現出色,常用於WordPress等CMS。 2.Python在數據科學和機器學習領域表現卓越,擁有豐富的庫如NumPy和TensorFlow。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。

Dreamweaver CS6
視覺化網頁開發工具

WebStorm Mac版
好用的JavaScript開發工具

ZendStudio 13.5.1 Mac
強大的PHP整合開發環境

記事本++7.3.1
好用且免費的程式碼編輯器