码迷,mamicode.com
首页 > 数据库 > 详细

防止mysql注入

时间:2016-04-07 18:34:17      阅读:185      评论:0      收藏:0      [点我收藏+]

标签:

简单背景:sql注入是web安全领域里一个挺热门的话题。sql注入主要是由于拼接sql语句造成的,攻击者通过传入非法的参数使拼接成的sql变成非程序员本意的sql查询,攻击者可以完成登录,删除用户数据甚至危害系统安全。

 

通过stackoverflow,可以看到比较安全的防范方法,主要有两种方式:mysqli和pdo。但是这两种都是通过预定义和参数绑定处理的,几乎可以防止任何的sql注入。

对于只用到mysql基础查询的用户来说,可以通过一些转义和过滤的方式来防范一些简单的sql注入。代码如下:

<?php
public function prevent_injection($temp){
        //过滤关键字
        $temp = preg_replace(‘/select|and|or|insert|update|delete/i‘, ‘‘, $temp);
        if(is_numeric($temp)){
            //类型检测
            $temp = intval($temp);
        }else if(!get_magic_quotes_gpc()){
             //转义
             $temp = addslashes($temp);
        }
        return $temp;
    }

注:通过addslashes和mysql_real_escape_string方法,攻击者可以通过编码的方式绕过检测,但是对于一些简单的攻击这样处理也可以。

防止mysql注入

标签:

原文地址:http://www.cnblogs.com/tianlai0910/p/5364727.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!