脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程PHP编程php技巧 → PHP登录环节防止sql注入

PHP登录环节防止sql注入的方法浅析

 更新时间:2014年06月30日 11:43:58   投稿:shichen2014  
这篇文章主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下

在防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试的时候一下就攻破了你的数据库,下面我们来简单的介绍一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧。

比如以下一段登录的代码:

if($l = @mysql_connect('localhost', 'root', '123')) or die('数据库连接失败');
mysql_select_db('test');
mysql_set_charset('utf8');
$sql = 'select * from test where username = "$username" and password = "$password"';
$res = mysql_query($sql);
if(mysql_num_rows($res)){
header('Location:./home.php');
}else{
die('输入有误');
}

注意上面的sql语句,存在很大的安全隐患,如果使用以下万能密码和万能用户名,那么可以轻松进入页面:

$sql = 'select * from test where username = "***" and password = "***" or 1 = "1"';

很明显,针对这条sql语句的万能密码是: ***" or 1 = "1

$sql = 'select * from test where username ="***" union select * from users/* and password = "***"';

正斜线* 表示后面的不执行,mysql支持union联合查询,因此直接查询出所有数据; 所以针对这条sql语句的万能用户名是:***" union select * from users/*

但是,此注入只针对代码中的sql语句,如果

$sql = "select * from test where username = $username and password = $password";

上面的注入至少已经不管用了,不过方法是一样的;
在使用PDO之后,sql注入完全可以被避免,而且在这个快速开发的时代,框架横行,已然不用过多考虑sql注入问题了。
下面整理了两个防止sql注册函数

/* 过滤所有GET过来变量 */
foreach ($_GET as $get_key=>$get_var)
{
if (is_numeric($get_var)) {
$get[strtolower($get_key)] = get_int($get_var);
} else {
$get[strtolower($get_key)] = get_str($get_var);
}
}
/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=>$post_var)
{
if (is_numeric($post_var)) {
$post[strtolower($post_key)] = get_int($post_var);
} else {
$post[strtolower($post_key)] = get_str($post_var);
}
}
/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
if (!get_magic_quotes_gpc()) {
return addslashes($string);
}
return $string;
}

另外还有一些博客会这样写

<?php  
function post_check($post) 
{ 
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开 
{ 
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
} 
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉 
$post = str_replace("%", "\%", $post); // 把' % '过滤掉 
$post = nl2br($post); // 回车转换 
$post= htmlspecialchars($post); // html标记转换 
return $post; 
} 
?>

您可能感兴趣的文章:

相关文章

  • DedeCMS 核心类TypeLink.class.php摘要笔记

    DedeCMS 核心类TypeLink.class.php摘要笔记

    DedeCMS 核心类TypeLink.class.php摘要笔记,学习php就是借鉴与分析,让自己的掌握的更多。
    2010-04-04
  • PHP使用SOAP扩展实现WebService的方法

    PHP使用SOAP扩展实现WebService的方法

    这篇文章主要介绍了PHP使用SOAP扩展实现WebService的方法,结合实例形式较为详细的分析了SOAP扩展的原理及实现WebService的相关技巧,需要的朋友可以参考下
    2016-04-04
  • php基础知识:函数基础知识

    php基础知识:函数基础知识

    php基础知识:函数基础知识...
    2006-12-12
  • php基于curl实现的股票信息查询类实例

    php基于curl实现的股票信息查询类实例

    这篇文章主要介绍了php基于curl实现的股票信息查询类,结合完整实例形式分析了php使用curl调用API接口实现股票信息查询功能的相关操作技巧,需要的朋友可以参考下
    2016-11-11
  • 一道求$b相对于$a的相对路径的php代码

    一道求$b相对于$a的相对路径的php代码

    这是一段计算两个路径的相对路径的php代码,需要的朋友可以参考下。
    2010-08-08
  • PHP Document 代码注释规范

    PHP Document 代码注释规范

    PHPDocumentor是一个用PHP写的工具,对于有规范注释的php程序,它能够快速生成具有相互参照,索引等功能的API文档。老的版本是 phpdoc。
    2009-04-04
  • PHP内存溢出的原因和解决方案

    PHP内存溢出的原因和解决方案

    在开发和执行PHP代码时,开发者常常会面临一些常见的问题之一——内存溢出,本文将深入探讨PHP内存溢出的原因、影响以及解决方案,并提供一些实际的代码,需要的朋友可以参考下
    2024-01-01
  • PHP 编程的 5个良好习惯

    PHP 编程的 5个良好习惯

    像其他语言一样,开发人员可以用 PHP 编写出各种质量级别的代码。学习良好的编程习惯能够提高代码质量和效率。
    2009-02-02
  • PHP设计模式之模板模式定义与用法详解

    PHP设计模式之模板模式定义与用法详解

    这篇文章主要介绍了PHP设计模式之模板模式定义与用法,较为详细的说明了模板模式的原理、功能、应用及php定义、使用模板模式的相关操作技巧,代码简单易懂,需要的朋友可以参考下
    2018-12-12
  • PHP实现排序堆排序(Heap Sort)算法

    PHP实现排序堆排序(Heap Sort)算法

    这篇文章主要为大家详细介绍了PHP实现排序堆排序(Heap Sort)算法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-01-01

最新评论