mysql安全小結

標籤：操作   安全   比較   正則   --   不同   注釋   問題   其他   

sql的注入是一個很困擾人的問題，一些惡意攻擊者可以利用sql注入來擷取甚至是修改資料庫中的資訊，尤其是一些比較敏感的密碼一類的資料。

sql注入主要利用mysql 的注釋將後續應正常執行的語句注釋掉以達到惡意攻擊者的目的

還可以通過使用‘的方式來打斷sql語句的執行

還可以通過通過輸入or 1=1這樣的語句來改變原有的sql判斷語句來進行攻擊

當然，有攻擊必然會有防禦

PHP中可以使用PDO、先行編譯來防止sql注入的攻擊必要時我們還可以藉助預存程序當然預存程序在web開發中很少用到。

也可以使用Regex和PHP的一些內建函數來過濾掉一些非法字元

主要有一下幾個方面來進行操作：

1.整理資料使之變得有效。

2.拒絕一致的非法資料。

3.只接受合法資料。

我們可以使用Regex來過濾這些字元：

“’”、“;”、“=”、“(”、“)”、“/*”、“*/”、“%”、“+”、“”、“>”、“<”、“--”、“[”、“]”

還可以結合PHP通過做判斷來防止sql的注入：

我們可以將參數劃分為數字或字元類型和其他類型兩種來做不同正則判斷，來防止sql的注入。

同樣也可以根據自己的需求來指定屬於自己的Regex來防止sql注入。

mysql安全小結