欧美日韩不卡一区二区三区,www.蜜臀.com,高清国产一区二区三区四区五区,欧美日韩三级视频,欧美性综合,精品国产91久久久久久,99a精品视频在线观看

php語言

php防止SQL注入攻擊與XSS攻擊的方法

時間:2025-04-04 10:08:16 php語言 我要投稿

php防止SQL注入攻擊與XSS攻擊的方法

  在php中防止SQL注入攻擊與XSS攻擊的二個簡單方法,感興趣的朋友可以參考下,就跟隨百分網(wǎng)小編一起去了解下吧,想了解更多相關(guān)信息請持續(xù)關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

  本節(jié)內(nèi)容:

  SQL注入攻擊與XSS攻擊的防范方法

  在php編程中,所有有打印的語句如echo,print等 在打印前都要使用htmlentities() 進行過濾,這樣可以防止Xss。

  注意,中文要寫出htmlentitiess($name,ENT_NOQUOTES,GB2312)。

  mysql_real_escape_string()

  SQL語句中,如果有類似這樣的寫法:

  復(fù)制代碼 代碼示例:

  "select * from cdr where src =".$userId;

  要修改為:

  復(fù)制代碼 代碼示例:

  $userId=mysql_real_escape_string($userId)

  另外,有打印的語句如echo,print等 在打印前都要使用htmlentities() 進行過濾,這樣可以防止Xss,注意,中文要寫出htmlentities($name,ENT_NOQUOTES,GB2312) 。

  【拓展閱讀】

  首先,來看下php中的sql注入攻擊。

  復(fù)制代碼 代碼如下:

  <?php

  mysql_connect("localhost","root","123456")or die("數(shù)據(jù)庫連接失敗!");

  mysql_select_db("test1");

  $user=$_post['uid'];

  $pwd=$_POST['pass'];

  if(mysql_query("SELECT * from where

  admin

  = `username`='$user' or `password`='$pwd'"){

  echo "用戶成功登陸..";

  } eles {

  echo "用戶名或密碼出錯";

  }

  ?>

  以上代碼用于檢測用戶名或密碼是否正確,可是在一些惡意攻擊者中提交一些敏感代碼,后果可想而知。

  post判斷注入的方式有2種。

  1、在form表單的文本框輸入 "or‘1'=1"或者"and 1=1"

  在查詢數(shù)據(jù)庫的語句就應(yīng)該是:

  SELECT admin from where login = `user`=''or‘1'=1' or `pass`=‘xxxx'

  當(dāng)然也不會出現(xiàn)什么錯誤,因為or在sql的語句中代表和,或的意思。當(dāng)然也會提示錯誤。

  當(dāng)時我們已經(jīng)發(fā)現(xiàn)了可以執(zhí)行SQL語句之后就可以查詢當(dāng)前表的所有信息。例如:正確的管理員賬戶和密碼進行登錄入侵。。

  修復(fù)方式1:

  使用javascript腳本過濾特殊字符(不推薦,指標(biāo)不治本)

  如果攻擊者禁用了javascript還是可以進行SQL注入攻擊。。

  修復(fù)方式2:

  使用mysql的自帶函數(shù)進行過濾。

  復(fù)制代碼 代碼如下:

  <?php

  // 省略連接數(shù)據(jù)庫等操作

  $user=mysql_real_escape_string($_POST['user']);

  mysql_query("select * from admin whrer `username`='$user'");

  ?>

  2、XSS攻擊以及防范。

  提交表單:

  復(fù)制代碼 代碼如下:

  <form method="post" action="">

  <intup tyep="text" name="test">

  <intup tyep="submit" name="sub" value="提交">

  </form>

  接收文件:

  復(fù)制代碼 代碼如下:

  if(empty($_POST['sub'])){

  echo $_POST['test'];

  }

  代碼很簡單,只是模擬了下使用場景。

【php防止SQL注入攻擊與XSS攻擊的方法】相關(guān)文章:

php防止SQL注入攻擊與XSS攻擊方法08-07

php中sql注入與XSS攻擊的介紹01-09

關(guān)于php中sql注入與XSS攻擊的相關(guān)介紹07-04

PHP阻止SQL注入式攻擊的方法03-20

在PHP中阻止SQL注入式攻擊的方法03-03

在PHP中全面阻止SQL注入式攻擊的方法05-14

了解常見的php的sql注入式攻擊08-12

php防止SQL注入的方法04-22

了解常見的php中sql注入式攻擊03-18