返回
sql注入原理及php防注入代码

sql注入原理及php防注入代码

ID:37896117

大小:277.00 KB

页数:10页

时间:2019-06-02

sql注入原理及php防注入代码_第1页
sql注入原理及php防注入代码_第2页
sql注入原理及php防注入代码_第3页
sql注入原理及php防注入代码_第4页
sql注入原理及php防注入代码_第5页
资源描述:

《sql注入原理及php防注入代码》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1、基本概念php.ini文件中的一个设置:magic_quotes_gpc。此设置默认是关闭的,即magic_quotes_gpc=off,一般将其设置为on。为on时,php应用程序服务器将自动把用户提交的对SQL的查询进行转换,比如吧“’”转化为“’”,它的作用是在敏感字符前加一个反斜杠“”,这对防止SQL注入有重大作用。函数addslashes()作用是在所有外部数据敏感字符’(单引号)、(反斜杠)、NUL的前面加上反斜杠。函数intval()作用是将数据类型转化为整型。注意:在新版本PHP中,即使magic_quotes_gpc设成了on,在

2、使用addslashes()函数来处理时不会出现冲突的,可以大胆使用。2、sql漏洞注入原理基础过滤和二次过滤一般情况下,在获得用户提交的参数时,首先要进行一些基础性的过滤,然后再根据程序的响应的功能以及用户输入进行二次过滤。在所有用户输入处对敏感字符进行过滤,敏感字符如下:"\","&","","'","/","*",",","<",">","r","t","","#","$","(",")","%","@","+","?",";","^","--","and","or","select","update"在javascript中使用代码过滤敏感

3、字符串:标题页functioncheck(inputStr){if(typeof(inputStr)!="string"){returninputStr;}//判断是否是字符串类型vartmpValue=inputStr;//以下搜索字符串中的特殊字符,如果存在,则替换成""while(tmpValue.indexOf(';')>-1){tmpValue=tmpValue.re

4、place(';','');}while(tmpValue.indexOf('<')>-1){tmpValue=tmpValue.replace('<','');}while(tmpValue.indexOf('>')>-1){tmpValue=tmpValue.replace('>','');}while(tmpValue.indexOf('--')>-1){tmpValue=tmpValue.replace('--','');}while(tmpValue.indexOf(",")>-1){tmpValue=tmpValue.replace(",",""

5、);}while(tmpValue.indexOf("'")>-1){tmpValue=tmpValue.replace("'","");}while(tmpValue.indexOf("?")>-1){tmpValue=tmpValue.replace("?","");}document.getElementById("txt1").value=tmpValue;//重新显示更改后的变量}

6、=zhang'andpasswrod=2"style="width:392px">1、防注入的php代码:

7、c($_FILES);}$_SERVER=sec($_SERVER);functionsec(&$array){//如果是数组,遍历数组,递归调用if(is_array($array)){foreach($arrayas$k=>$v){$array[$k]=sec($v);}}elseif(is_string($array)){//使用addslashes函数来处理$array=addslashes($array);}elseif(is_numeric($array)){$array=intval($array);}return$array;}//整型过滤函

8、数functionnum_check($id){if

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。