php网站如何防止sql注入？【上】 -php教程-PHP中文网

首页

后端开发

php教程

php网站如何防止sql注入？【上】

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2016 am 09:04 AM

网站的运行安全肯定是每个站长必须考虑的问题，大家知道，大多数黑客攻击网站都是采用sql注入，这就是我们常说的为什么？

最原始的静态的网站反而是最安全的。今天我们讲讲PHP注入的安全规范，防止自己的网站被sql注入。

如今主流的网站开发语言还是php，那我们就从php网站如何防止sql注入开始说起：

Php注入的安全防范通过上面的过程，我们可以了解到php注入的原理和手法，当然我们也同样可以制定出相应该的防范方法：

首先是对服务器的安全设置，这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On，display_errs设置为Off，如果id型，我们利用intval()将其转换成整数类型，如代码：

$idintval($id);

mysql_query”*fromexamplewherearticieid’$id’”;或者这样写：mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")

如果是字符型就用addslashes()过滤一下，然后再过滤”%”和”_”如：

$searchaddslashes($search);

$searchstr_replace(“_”,”\_”,$search);

$searchstr_replace(“%”,”\%”,$search);

当然也可以加php通用防注入代码：

/*************************

PHP通用防注入安全代码

说明：

判断传递的变量中是否含有非法字符

如$_POST、$_GET

功能：

防注入

**************************/

//要过滤的非法字符

$ArrFiltratearray(”‘”,”;”,”union”);

//出错后要跳转的url,不填则默认前一页

$StrGoUrl”";

//是否存在数组中的值

functionFunStringExist($StrFiltrate,$ArrFiltrate){

feach($ArrFiltrateas$key>$value){

if(eregi($value,$StrFiltrate)){

returntrue;

}

returnfalse;

}

//合并$_POST和$_GET

if(function_exists(array_merge)){

$ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{

feach($HTTP_POST_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

feach($HTTP_GET_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

//验证开始

feach($ArrPostAndGetas$key>$value){

if(FunStringExist($value,$ArrFiltrate)){

echo“alert(/”Neeao提示，非法字符/”);”;

if(empty($StrGoUrl)){

echo“histy.go(-1);”;

}else{

echo“window.location/”".$StrGoUrl.”/”;”;

}

exit;

}

/*************************

保存为checkpostget.php

然后在每个php文件前加include(“checkpostget.php“);即可

**************************/

另外将管理员用户名和密码都采取md5加密，这样就能有效地防止了php的注入。

还有服务器和mysql也要加强一些安全防范。

对于linux服务器的安全设置：

加密口令，使用“/usr/sbin/authconfig”工具打开密码的shadow功能，对passwd进行加密。

禁止访问重要文件，进入linux命令界面，在提示符下输入：

#chmod600/etc/inetd.conf//改变文件属性为600

#chattr+I /etc/inetd.conf //保证文件属主为root

#chattr–I /etc/inetd.conf //对该文件的改变做限制

禁止任何用户通过su命令改变为root用户

在su配置文件即/etc/pam.d/目录下的开头添加下面两行:

Auth sufficient /lib/security/pam_rootok.sodebug

Auth required /lib/security/pam_whell.sogroupwheel

删除所有的特殊帐户

#userdel lp等等删除用户

#groupdellp等等删除组

禁止不使用的suid/sgid程序

#find/-typef$-perm-04000 -o–perm-02000$\-execls–lg{}\;

免费领取兄弟连php原创视频教程光盘，详情咨询官网客服：

http://www.lampbrother.net

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP记录：PHP日志分析的最佳实践Mar 10, 2025 pm 02:32 PM

PHP日志记录对于监视和调试Web应用程序以及捕获关键事件，错误和运行时行为至关重要。它为系统性能提供了宝贵的见解，有助于识别问题并支持更快的故障排除

在Laravel中使用Flash会话数据Mar 12, 2025 pm 05:08 PM

Laravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息，警报或通知。默认情况下，数据仅针对后续请求： $请求 -

php中的卷曲：如何在REST API中使用PHP卷曲扩展Mar 14, 2025 am 11:42 AM

PHP客户端URL（curl）扩展是开发人员的强大工具，可以与远程服务器和REST API无缝交互。通过利用Libcurl（备受尊敬的多协议文件传输库），PHP curl促进了有效的执行

简化的HTTP响应在Laravel测试中模拟了Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法，简化了 HTTP 交互测试。这种方法显着减少了代码冗余，同时使您的测试模拟更直观。基本实现提供了多种响应类型快捷方式： use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>