php+mysql防注入问题

《php+mysql防注入问题》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、在注入大行其道的互联网，要保护好自己的网站不被别人恶意利用，是需要很多时间和精力，我把我自己最常用的php+mysql防注入手段写下来，希望会对大家有点用处。：）1、最简单的方法：在php.ini里把register_globals=On该成register_globals=Off，这点的好处就是让你php中的变量不能直接从get/post等地方获取，而是由你自己程序上获取如:如果register_globals=On时，浏

2、览者可直接从浏览地址那边多加$isadmin=1，那么他就能见到youaradmin，这样的话，对我们的代码是完全没有安全性，只要对方能知道我们程序里变量，那就很有可能会造成严重的破坏，如一些开源代码，那么什么变量浏览者都知道，他可以伪造他需要的变量值2、过滤用户输入的任何数据永远也不要相信用户输入的数据都是正确的，对用户输入的任何数据都要进行过滤和判断，连一些checkbox或button值都要进行判断，记得以前动网有很多注入点就是因为某些看起来不可能会输入其他值的地方输入了不安全代码造成注入，过滤方法：在所有文件需调用的文件里添加1）过滤字符if

3、($GLOBALS['_GET']){$_GET=_addslashes($_GET);}if($GLOBALS['_POST']){$_POST=_addslashes($_POST);}if($GLOBALS['_FILES']){$_FILES=_addslashes($_FILES);}if($GLOBALS['_COOKIE']){$_COOKIE=_addslashes($_COOKIE);}if($GLOBALS['_SESSION']){$_SESSION=_addslashes($_SESSION);}/***addslashes(

4、)别名函数,加强对数组类型(array)的数据处理*该函数并添加了对MYSQL的转义字符异常的支持,但前提是SQL的分界符为'即单引号**@paramstring

5、array$string*@paramboolean$force是否强制转换转义字符*@returnstring

6、array*/function_addslashes($string,$force=0){global$db_type;if(!get_magic_quotes_gpc()

7、

8、$force){if(is_array($string)){foreach($stringas$key

9、=>$val){$string[$key]=_addslashes($val,$force);}}else{$string=addslashes($string);}}return$string;}这个是过滤一些'引号等，进入mysql前把一些符号替换成mysql中安全的符号2）过滤数字所有的获取数字时使用intval强制转换成数值型如：$age=intval($_POST["age"]);这2个地方过滤好了，再进行一些判断，比如数字太大了。。字符太长太短，等判断用户输入是否符合这样就可以挡住那些使用工具的那些人乱注入了。网站的安全当然包括有其他的，

10、比如服务器的安全，程序的安全，和一些软件的安全。我们这里只介绍php防注入，其他的以后再谈吧。；）