首頁 > 開發者 > PHP

php網站如何防止sql注入?

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

標籤:php   php教程   php資料   php技術   php自學   

     網站的運行安全肯定是每個站長必須考慮的問題,大家知道,大多數駭客攻擊網站都是採用sql注入,這就是我們常說的為什麼   ?

     最原始的靜態網站反而是最安全的。今天我們講講PHP注入的安全規範,防止自己的網站被sql注入。

如今主流的網站開發語言還是php,那我們就從php網站如何防止sql注入開始說起:

Php注入的安全防範通過上面的過程,我們可以瞭解到php注入的原理和手法,當然我們也同樣可以制定出相應該的防範方法:

首先是對伺服器的安全設定,這裡主要是php+mysql的安全設定和linux主機的安全設定。對php+mysql注射的防範,首先將magic_quotes_gpc設定為On,display_errs設定為Off,如果id型,我們利用intval()將其轉換成整數類型,如代碼:

 

$idintval($id);

mysql_query”*fromexamplewherearticieid’$id’”;或者這樣寫:mysql_query(”SELECT*FROMarticleWHEREarticleid”.intval($id).”")

如果是字元型就用addslashes()過濾一下,然後再過濾”%”和”_”如:

$searchaddslashes($search);

$searchstr_replace(“_”,”\_”,$search);

$searchstr_replace(“%”,”\%”,$search);

當然也可以加php通用防注入代碼:

/*************************

PHP通用防注入安全的程式碼

說明:

判斷傳遞的變數中是否含有非法字元

如$_POST、$_GET

功能:

防注入

 

 

**************************/

//要過濾的非法字元

$ArrFiltratearray(”‘”,”;”,”union”);

//出錯後要跳轉的url,不填則預設前一頁

$StrGoUrl”";

//是否存在數組中的值

functionFunStringExist($StrFiltrate,$ArrFiltrate){

feach($ArrFiltrateas$key>$value){

if(eregi($value,$StrFiltrate)){

returntrue;

}

}

returnfalse;

}

//合并$_POST和$_GET

if(function_exists(array_merge)){

$ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{

feach($HTTP_POST_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

feach($HTTP_GET_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

}

//驗證開始

feach($ArrPostAndGetas$key>$value){

if(FunStringExist($value,$ArrFiltrate)){

echo“alert(/”Neeao提示,非法字元/”);”;

if(empty($StrGoUrl)){

echo“histy.go(-1);”;

}else{

echo“window.location/”".$StrGoUrl.”/”;”;

}

exit;

}

}

?>

/*************************

 

 

儲存為checkpostget.php

然後在每個php檔案前加include(“checkpostget.php“);即可

**************************/

另外將管理使用者名和密碼都採取md5加密,這樣就能有效地防止了php的注入。

還有伺服器和mysql也要加強一些安全防範。

對於linux伺服器的安全設定:

加密口令,使用“/usr/sbin/authconfig”工具開啟密碼的shadow功能,對passwd進行加密。

禁止訪問重要檔案,進入linux命令介面,在提示符下輸入:

#chmod600/etc/inetd.conf//改變檔案屬性為600

#chattr+I /etc/inetd.conf   //保證檔案屬主為root

#chattr–I  /etc/inetd.conf   //對該檔案的改變做限制

禁止任何使用者通過su命令改變為root使用者

在su設定檔即/etc/pam.d/目錄下的開頭添加下面兩行:

Auth sufficient /lib/security/pam_rootok.sodebug

Auth required /lib/security/pam_whell.sogroupwheel

刪除所有的特殊帳戶

#userdel lp等等刪除使用者

#groupdellp等等刪除群組

禁止不使用的suid/sgid程式

#find/-typef\(-perm-04000  -o–perm-02000\)\-execls–lg{}\;

 

 

判斷傳遞的變數中是否含有非法字元我們把以下代碼放到一個公用的檔案裡,比如security.inc.php裡面,每個檔案裡都include一下這個檔案,那麼就能夠給任何一個程式進行提交的所有變數進行過濾了,就達到了我們一勞永逸的效果。

 

簡述:/*************************

說明:

判斷傳遞的變數中是否含有非法字元

如$_POST、$_GET

功能:防注入

**************************/

 

 

 

//要過濾的非法字元

$ArrFiltratearray("",";","union");

//出錯後要跳轉的url,不填則預設前一頁

$StrGoUrl"";

//是否存在數組中的值

functionFunStringExist($StrFiltrate,$ArrFiltrate){

feach($ArrFiltrateas$key>$value){

if(eregi($value,$StrFiltrate)){

returntrue;

}

}

returnfalse;

}

//合并$_POST和$_GET

if(function_exists(array_merge)){

$ArrPostAndGetarray_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{

feach($HTTP_POST_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

feach($HTTP_GET_VARSas$key>$value){

$ArrPostAndGet[]$value;

}

}

//驗證開始

feach($ArrPostAndGetas$key>$value){

if(FunStringExist($value,$ArrFiltrate)){

echo"alert(\"非法字元\");";

if(emptyempty($StrGoUrl)){

echo"histy.go(-1);";

}else{

echo"window.location\"".$StrGoUrl."\";";

}

exit;

}

}

?>

 

儲存為checkpostget.php

然後在每個php檔案前加include(“checkpostget.php“);即可

 

方法2

 

代碼如下:

 

/*過濾所有GET過來變數*/

feach($_GETas$get_key>$get_var)

{

if(is_numeric($get_var)){

$get[strtolower($get_key)]get_int($get_var);

}else{

$get[strtolower($get_key)]get_str($get_var);

}

}

/*過濾所有POST過來的變數*/

feach($_POSTas$post_key>$post_var)

{

if(is_numeric($post_var)){

$post[strtolower($post_key)]get_int($post_var);

}else{

$post[strtolower($post_key)]get_str($post_var);

}

}

/*過濾函數*/

//整型過濾函數

functionget_int($number)

{

returnintval($number);

}

//字串型過濾函數

functionget_str($string)

{

if(!get_magic_quotes_gpc()){

returnaddslashes($string);

}

return$string;

}

 

 

 

第一個是對資料進行轉義的方法

第二個方法寫在單獨的檔案裡,引入每一個PHP檔案內

就可以實現對每一個資料進行轉義處理了

functionsaddslashes($string){

if(is_array($string)){

feach($stringas$key>$val){

 $string[$key]saddslashes($val);

}

}else{

$stringaddslashes($string);

}

return$string;

}

 

 

#################################################################

$magic_quoteget_magic_quotes_gpc();

if(empty($magic_quote)){

$_GETsaddslashes($_GET);

$_POSTsaddslashes($_POST);

}

 

 

 

免費領取兄弟連php原創視頻教程光碟片,詳情諮詢官網客服:

http://www.lampbrother.net

 


php網站如何防止sql注入?

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

相關關鍵詞:
php sql android php sql apache sql php learn php and sql inner join sql php php import sql php odbc sql server
相關文章
監控伺服器swap並重啟php的Shell指令碼_linux shell
PHP(5)“最長公用首碼”演算法問題
30個很棒的PHP開源CMS內容管理系統
php調用dll經驗小結
PHP匯入匯出Excel方法
PHP 擷取當前url的函數及參數

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

熱門內容

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More