有效防止SQL注入漏洞详细说明_PHP教程-php教程-PHP中文网

首页

后端开发

php教程

有效防止SQL注入漏洞详细说明_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 pm 05:09 PM

sql做动态包含参数对有效注入漏洞的详细语句说明防止

1.如果动态构造的sql语句中包含参数，请必须对参数做如下操作
a.将'(单引号)替换成''(两个单引号)
b.将--(注释符)替换掉
c.将参数加入语句时，一定要在前后各加上引号，如:'select * from table where id='''+@id+''''这样的加法
2.如果动态构造的sql语句中包含表参数,请勿必给表加上[](中括号)，如:'select * from ['+@tab+']'这样的做法

3..避免动态sql语句：尤其是从ie客户端获取查询、修改、删除条件的字段最容易被注入，例如上述从客户端获取personid，为了开发方便，直接把从客户端获取的persongid作为sql语句的条件，却没有对personid作必要的检查，所以在开发时执行sql语句时最好使用preparedstatement类。

4. 验证数据：在客户端ie使用网页特效验证用户输入数据的合法性作用其实不是很大，一定要在获取客户端数据之后，对数据进行严格的验证，开发人员不要假想用户只会输入合法的数据。确保在应用程序中检查分号、引号、括号、sql关键字等。可以使用正则表达式来进行复杂的模式匹配，运用它可以达到良好的效果。

×××网站地址薄查看程序需要传递一个personid，personid可以通过url参数传递，由于地址本查看程序直接获取personid，没有做任何数据合法性验证，而且personid是字符串变量，获取personid的代码如下：

if (getparameter(req,"personid")!=null){

personid=getparameter(req,"personid").trim();

}else{

personid="";

}

该程序中组合成的动态sql语句如下：

personsql="select * from 表名 where userid="+long.tostring(userid)+" and addrcontactid="+personid;

由于程序没有检查personid是否是整数，所以攻击者随便给personid赋一个值，即可继续运行后续的程序逻辑，如果攻击者输入如下网址：

http://www.----------------------?personid=6414 or 2=2

组合成的sql语句如下：

select * from 表名where userid=1433620 and addrcontactid=6414 or 2=2

防范方法

　　sql注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为普遍，通常是由于程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查导致。在这里，我给大家一个函数，代替asp教程中的request函数，可以对一切的sql注入say no，函数如下：

function saferequest(paraname,paratype)
　'--- 传入参数 ---
　'paraname:参数名称-字符型
　'paratype:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符)

　dim paravalue
　paravalue=request(paraname)
　if paratype=1 then
　　if not isnumeric(paravalue) then
　　　response.write "参数" & paraname & "必须为数字型！"
　　　response.end
　　end if
　else
　　paravalue=replace(paravalue,"'","''")
　end if
　saferequest=paravalue
end function

上面函数应用

对于int型的参数，如文章的id等，可以先判断是不是整数。

id =trim(request("id"))
if id"" then
if not isnumeric(id) then
response.write"请提供数字型参数"
response.end
end if
id = clng(id)
else
response.write"请输入参数id"
response.end
end if

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP行动：现实世界中的示例和应用程序Apr 14, 2025 am 12:19 AM

PHP在电子商务、内容管理系统和API开发中广泛应用。1)电子商务：用于购物车功能和支付处理。2)内容管理系统：用于动态内容生成和用户管理。3)API开发：用于RESTfulAPI开发和API安全性。通过性能优化和最佳实践，PHP应用的效率和可维护性得以提升。

PHP：轻松创建交互式Web内容Apr 14, 2025 am 12:15 AM

PHP可以轻松创建互动网页内容。1)通过嵌入HTML动态生成内容，根据用户输入或数据库数据实时展示。2)处理表单提交并生成动态输出，确保使用htmlspecialchars防XSS。3)结合MySQL创建用户注册系统，使用password_hash和预处理语句增强安全性。掌握这些技巧将提升Web开发效率。

PHP和Python：比较两种流行的编程语言Apr 14, 2025 am 12:13 AM

PHP和Python各有优势，选择依据项目需求。1.PHP适合web开发，尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能，语法简洁，适合初学者。

PHP的持久相关性：它还活着吗？Apr 14, 2025 am 12:12 AM

PHP仍然具有活力，其在现代编程领域中依然占据重要地位。1)PHP的简单易学和强大社区支持使其在Web开发中广泛应用；2)其灵活性和稳定性使其在处理Web表单、数据库操作和文件处理等方面表现出色；3)PHP不断进化和优化，适用于初学者和经验丰富的开发者。

PHP的当前状态：查看网络开发趋势Apr 13, 2025 am 12:20 AM

PHP在现代Web开发中仍然重要，尤其在内容管理和电子商务平台。1)PHP拥有丰富的生态系统和强大框架支持，如Laravel和Symfony。2)性能优化可通过OPcache和Nginx实现。3)PHP8.0引入JIT编译器，提升性能。4)云原生应用通过Docker和Kubernetes部署，提高灵活性和可扩展性。

PHP与其他语言：比较Apr 13, 2025 am 12:19 AM

PHP适合web开发，特别是在快速开发和处理动态内容方面表现出色，但不擅长数据科学和企业级应用。与Python相比，PHP在web开发中更具优势，但在数据科学领域不如Python；与Java相比，PHP在企业级应用中表现较差，但在web开发中更灵活；与JavaScript相比，PHP在后端开发中更简洁，但在前端开发中不如JavaScript。

PHP与Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有优势，适合不同场景。1.PHP适用于web开发，提供内置web服务器和丰富函数库。2.Python适合数据科学和机器学习，语法简洁且有强大标准库。选择时应根据项目需求决定。

PHP：网络开发的关键语言Apr 13, 2025 am 12:08 AM

PHP是一种广泛应用于服务器端的脚本语言，特别适合web开发。1.PHP可以嵌入HTML，处理HTTP请求和响应，支持多种数据库。2.PHP用于生成动态网页内容，处理表单数据，访问数据库等，具有强大的社区支持和开源资源。3.PHP是解释型语言，执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时，可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7

See all articles