欢迎来到天天文库
浏览记录
ID:30505117
大小:16.58 KB
页数:5页
时间:2018-12-30
《php登录中的防止sql注入方法分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、我真正系统地接触和学习党的基本知识是在这次中级党校的培训班上。通过学习,了解了党的发展历程,对党的性质、宗旨、任务等基本知识有了进一步的了解PHP登录中的防止sql注入方法分析 防止sql注入这些细节问题一般是出现在大意程序员或者是新手程序员了,他们未对用户提交过来的数据进行一些非常过滤从而导致给大家测试一下就攻破了你的数据库了,下面我来简单的一个用户登录未进行安全配置可能出现的sql注入方法,下面一起来看看吧。 比如以下一段登录的代码: 代码如下: if($l=@mysql_connect('localhost','root','123'))ordi
2、e('数据库连接失败'); mysql_select_db('test'); mysql_set_charset('utf8'); $sql='select*fromtestwhereusername="$username"andpassword="$password"'; $res=mysql_query($sql); if(mysql_num_rows($res)){ header('Location:./home.php'); }else{ die('输入有误'); } 注意上面的sql语句,存在很大的安全隐患,如果使用以下万能密码和
3、万能用户名,那么可以轻松进入页面:对党的认识也有了进一步的提高。才真正体会到了中国共产党的伟大、光荣和正确,更感到只有中国共产党是全中国最广大人民利益的忠实代表我真正系统地接触和学习党的基本知识是在这次中级党校的培训班上。通过学习,了解了党的发展历程,对党的性质、宗旨、任务等基本知识有了进一步的了解 代码如下: 1.$sql='select*fromtestwhereusername="***"andpassword="***"or1="1"'; 很明显,针对这条sql语句的万能密码是:***"or1="1 代码如下: 2.$sql='select*
4、fromtestwhereusername="***"unionselect*fromusers/*andpassword="***"'; 正斜线*表示后面的不执行,mysql支持union联合查询,所以直接查询出所有数据;所以针对这条sql语句的万能用户名是:***"unionselect*fromusers/* 但是,此注入只针对代码中的sql语句,如果 代码如下: $sql="select*fromtestwhereusername=$usernameandpassword=$password"; 上面的注入至少已经不管用了,不过方法是一样的;
5、 在使用PDO之后,sql注入完全可以被避免,而且在这个快速开发的时代,框架横行,已然不用过多考虑sql注入问题了。 下面整理了两个防止sql注册函数 代码如下: /*过滤所有GET过来变量*/对党的认识也有了进一步的提高。才真正体会到了中国共产党的伟大、光荣和正确,更感到只有中国共产党是全中国最广大人民利益的忠实代表我真正系统地接触和学习党的基本知识是在这次中级党校的培训班上。通过学习,了解了党的发展历程,对党的性质、宗旨、任务等基本知识有了进一步的了解 foreach($_GETas$get_key=>$get_var) { if(is
6、_numeric($get_var)){ $get[strtolower($get_key)]=get_int($get_var); }else{ $get[strtolower($get_key)]=get_str($get_var); } } /*过滤所有POST过来的变量*/ foreach($_POSTas$post_key=>$post_var) { if(is_numeric($post_var)){ $post[strtolower($post_key)]=get_int($post_var); }else{ $po
7、st[strtolower($post_key)]=get_str($post_var); } } /*过滤函数*/ //整型过滤函数 functionget_int($number)对党的认识也有了进一步的提高。才真正体会到了中国共产党的伟大、光荣和正确,更感到只有中国共产党是全中国最广大人民利益的忠实代表我真正系统地接触和学习党的基本知识是在这次中级党校的培训班上。通过学习,了解了党的发展历程,对党的性质、宗旨、任务等基本知识有了进一步的了解 { returnintval($number); } //字符串型过滤函数 functiong
8、et_str($string) {
此文档下载收益归作者所有