php防止mysql注入
2017-07-05 20:54:28   来源:   评论:0 点击:

风险级别:高风险 漏洞描述及影响:该w88中文页面存在SQL注入漏洞,SQL注入是一种高危的安全漏洞,攻击者就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺

php防止mysql注入

1、PHP预定义字符是:单引号(’)、双引号(”)、反斜杠(\)、NULL

注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。


2、mysql注入所必须的两个条件:

(1)没有过滤(用mysql_real_escape_string()进行过滤)

(2)没有转义(PHP自带转义magic_quotes_gpc()=on,如果关闭,则可以用addslashes()进行转义)

Php面对传值的三个安全过滤步骤:
1、trim():函数过滤掉头和尾的空格
2、Htmlspecialchars():函数把预定义字符串转化为实体,可以防止因为PHP_SELF带来的XSS攻击
3、Stripslashes():去掉反斜杠
4、Addslashes():添加反斜杠

php防注入安全过滤函数:


function check_input($data){
        //对特殊符号添加反斜杠
        $data = addslashes($data);
        //判断自动添加反斜杠是否开启
        if(get_magic_quotes_gpc()){
            //去除反斜杠
            $data = stripslashes($data);
        }
        //把'_'过滤掉
        $data = str_replace("_", "\_", $data);
        //把'%'过滤掉
        $data = str_replace("%", "\%", $data);
        //把'*'过滤掉
        $data = str_replace("*", "\*", $data);
        //回车转换
        $data = nl2br($data);
        //去掉前后空格
        $data = trim($data);
        //将HTML特殊字符转化为实体
        $data = htmlspecialchars($data);
        return $data;
    }

相关热词搜索:php防止mysql注入

上一篇:HTTP.sys远程代码执行(可以解决)
下一篇:最后一页

分享到: function postToWb(){ var _t = encodeURI(document.title); var _url = encodeURIComponent(document.location); var _appkey = encodeURI("cba3558104094dbaa4148d8caa436a0b"); var _pic = encodeURI(''); var _site = ''; var _u = 'https://v.t.qq.com/share/share.php?url='+_url+'&appkey='+_appkey+'&site='+_site+'&pic='+_pic+'&title='+_t; window.open( _u,'', 'width=700, height=680, top=0, left=0, toolbar=no, menubar=no, scrollbars=no, location=yes, resizable=no, status=no' ); } document.write(''); document.write(''); document.write(''); document.write(''); document.write(''); 收藏