php防止SQL注入攻击与XSS攻击方法
本文介绍下,在php中防止SQL注入攻击与XSS攻击的二个简单方法,感兴趣的朋友可以参考下。
本节内容:
SQL注入攻击与XSS攻击的防范方法
在php编程中,所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss。
注意,中文要写出htmlentitiess($name,ENT_NOQUOTES,GB2312)。
mysql_real_escape_string()
SQL语句中,如果有类似这样的写法:
复制代码 代码示例:
"select * from cdr where src =".$userId;
要修改为:
复制代码 代码示例:
$userId=mysql_real_escape_string($userId)
另外,有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意,中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
【相关阅读】
首先,来看下php中的sql注入攻击。
复制代码 代码如下:
<?php
mysql_connect("localhost","root","123456")or die("数据库连接失败!");
mysql_select_db("test1");
$user=$_post['uid'];
$pwd=$_POST['pass'];
if(mysql_query("SELECT * from where
admin
= `username`='$user' or `password`='$pwd'"){
echo "用户成功登陆..";
} eles {
echo "用户名或密码出错";
}
?>
以上代码用于检测用户名或密码是否正确,可是在一些恶意攻击者中提交一些敏感代码,后果可想而知。
post判断注入的方式有2种。
1、在form表单的文本框输入 "or‘1'=1"或者"and 1=1"
在查询数据库的.语句就应该是:
SELECT admin from where login = `user`=''or‘1'=1' or `pass`=‘xxxx'
当然也不会出现什么错误,因为or在sql的语句中代表和,或的意思。当然也会提示错误。
当时我们已经发现了可以执行SQL语句之后就可以查询当前表的所有信息。例如:正确的管理员账户和密码进行登录入侵。。
修复方式1:
使用javascript脚本过滤特殊字符(不推荐,指标不治本)
如果攻击者禁用了javascript还是可以进行SQL注入攻击。。
修复方式2:
使用mysql的自带函数进行过滤。
-
PHP开发环境安装的方法
PHP是一种HTML内嵌式的语言,是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,被广泛地运用。以下是小编为大家搜索整理的PHP开发环境安装的方法,欢迎阅读!更多精彩内容请及时关注我们应届毕业生考试网!一、PHP简介PHP于1994年由RasmusLerdo...
-
PHP如何使用curl发送GET和POST请求
导语:PHP如何使用curl发送GET和POST请求,具体详情请阅读下面代码,更多详情请关注应届毕业生考试网。使用CURL发送请求的基本流程使用CURL的PHP扩展完成一个HTTP请求的发送一般有以下几个步骤:1.初始化连接句柄;2.设置CURL选项;3.执行并获取结果;4.释放VURL连接句柄。...
-
tp搜索时首页分页和搜索页保持条件分页的方法
在做搜索查询时突然发现在首页用的`分页代码在搜索页使用时出现错误,首页分页代码(代码中标注start与end部分为分页代码),下面是由本站小编为大家整理的Thinkphp搜索时首页分页和搜索页保持条件分页的方法,喜欢的可以收藏一下!了解更多详情资讯,请关注应届毕业生...
-
php使用fgetcsv读取csv文件出现乱码的解决方法
PHP独特的语法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。以下是小编为大家搜索整理的php使用fgetcsv读取csv文件出现乱码的解决方法,希望能给大家带来帮助!更多精彩内容请及时关注我们应届毕业生考试网!一般来说在php中...