标签:
简单背景:sql注入是web安全领域里一个挺热门的话题。sql注入主要是由于拼接sql语句造成的,攻击者通过传入非法的参数使拼接成的sql变成非程序员本意的sql查询,攻击者可以完成登录,删除用户数据甚至危害系统安全。
通过stackoverflow,可以看到比较安全的防范方法,主要有两种方式:mysqli和pdo。但是这两种都是通过预定义和参数绑定处理的,几乎可以防止任何的sql注入。
对于只用到mysql基础查询的用户来说,可以通过一些转义和过滤的方式来防范一些简单的sql注入。代码如下:
<?php public function prevent_injection($temp){ //过滤关键字 $temp = preg_replace(‘/select|and|or|insert|update|delete/i‘, ‘‘, $temp); if(is_numeric($temp)){ //类型检测 $temp = intval($temp); }else if(!get_magic_quotes_gpc()){ //转义 $temp = addslashes($temp); } return $temp; }
注:通过addslashes和mysql_real_escape_string方法,攻击者可以通过编码的方式绕过检测,但是对于一些简单的攻击这样处理也可以。
标签:
原文地址:http://www.cnblogs.com/tianlai0910/p/5364727.html