php如何過濾sql注入

Ⅰ php過濾sql注入，新手

我在PHP4環境下寫了一個防SQL注入的代碼，經過實際使用在PHP5下也兼容，歡迎大家使用修改，使用。
代碼如下：
<?php
/*
sqlin 防注入類
*/
class sqlin
{

//dowith_sql($value)
function dowith_sql($str)
{
$str = str_replace("and","",$str);
$str = str_replace("execute","",$str);
$str = str_replace("update","",$str);
$str = str_replace("count","",$str);
$str = str_replace("chr","",$str);
$str = str_replace("mid","",$str);
$str = str_replace("master","",$str);
$str = str_replace("truncate","",$str);
$str = str_replace("char","",$str);
$str = str_replace("declare","",$str);
$str = str_replace("select","",$str);
$str = str_replace("create","",$str);
$str = str_replace("delete","",$str);
$str = str_replace("insert","",$str);
$str = str_replace("'","",$str);
$str = str_replace(""","",$str);
$str = str_replace(" ","",$str);
$str = str_replace("or","",$str);
$str = str_replace("=","",$str);
$str = str_replace("%20","",$str);
//echo $str;
return $str;
}
//aticle()防SQL注入函數
function sqlin()
{
foreach ($_GET as $key=>$value)
{
$_GET[$key]=$this->dowith_sql($value);
}
foreach ($_POST as $key=>$value)
{
$_POST[$key]=$this->dowith_sql($value);
}
}
}
$dbsql=new sqlin();
?>
===================================================================================
使用方式：
將以上代碼復制新建一個sqlin.php的文件，然後包含在有GET或者POST數據接收的頁面
原理：
將所有的SQL關鍵字替換為空.

Ⅱ php怎樣過濾非法字元防止sql注入

htmlspecialchars($_POST['欄位'])，用這個函數就可以將一些特殊字元進行過濾轉義。你可以去看看這個函數的說明。

Ⅲ php如何防止sql注入

額，這是我老師給的答案

答：過濾一些常見的資料庫操作關鍵字,
select ,insert,update,delete,and,*等或通過內系統函數addslashes對內容容進行過濾
php配置文件中register_globals=off;設置為關閉狀態.(作用將注冊全局變數關閉);如接收POST表單的值使用$_POST['user'],假設設置為ON的話$user才接收值
sql語句書寫的時候盡量不要省略小引號(tab上面那個)和單引號
提高資料庫命名技巧,對於一些重要的欄位根據程序的特點命名,使之不易被猜中
對於常的方法加以封裝,避免直接暴漏SQL語句
開啟PHP安全模式safe_mode=on
打開magic_quotes_gpc來防止SQL注入,默認為關閉,開啟後自動把用戶提交sql查詢語句進行轉換把"'"轉換成"\'"
控制錯誤信息輸出,關閉錯誤信息提示,將錯誤信息寫到系統日誌
使用MYSQLI或PDO預處理

Ⅳ PHP代碼網站如何防範SQL注入漏洞攻擊建議分享

做為網路開發者的你對這種黑客行為恨之入骨，當然也有必要了解一下SQL注入這種功能方式的原理並學會如何通過代碼來保護自己的網站資料庫。今天就通過PHP和MySQL資料庫為例，分享一下我所了解的SQL注入攻擊和一些簡單的防範措施和一些如何避免SQL注入攻擊的建議。
簡單來說，SQL注入是使用代碼漏洞來獲取網站或應用程序後台的SQL資料庫中的數據，進而可以取得資料庫的訪問許可權。比如，黑客可以利用網站代碼的漏洞，使用SQL注入的方式取得一個公司網站後台資料庫里所有的數據信息。拿到資料庫管理員登錄用戶名和密碼後黑客可以自由修改資料庫中的內容甚至刪除該資料庫。SQL注入也可以用來檢驗一個網站或應用的安全性。SQL注入的方式有很多種，但本文將只討論最基本的原理，我們將以PHP和MySQL為例。本文的例子很簡單，如果你使用其它語言理解起來也不會有難度，重點關注SQL命令即可。
一個簡單的SQL注入攻擊案例
假如我們有一個公司網站，在網站的後台資料庫中保存了所有的客戶數據等重要信息。假如網站登錄頁面的代碼中有這樣一條命令來讀取用戶信息。
$q
=
"SELECT
`id`
FROM
`users`
WHERE
`username`=
'
"
.$_GET['username'].
"
'
AND
`password`=
'
"
.$_GET['password'].
"
'
";?>現在有一個黑客想攻擊你的資料庫，他會嘗試在此登錄頁面的用戶名的輸入框中輸入以下代碼:
'
;
SHOW
TABLES;
點擊登陸鍵，這個頁面就會顯示出資料庫中的所有表。如果他現在使用下面這行命令:
';
DROP
TABLE
[table
name];
這樣他就把一張表刪除了!
防範SQL注入
-
使用mysql_real_escape_string()函數
在資料庫操作的代碼中用這個函數mysql_real_escape_string()可以將代碼中特殊字元過濾掉，如引號等。如下例:
$q
=
"SELECT
`id`
FROM
`users`
WHERE
`username`=
'
"
.mysql_real_escape_string(
$_GET['username']
).
"
'
AND
`password`=
'
"
.mysql_real_escape_string(
$_GET['password']
).
"
'
";?>防範SQL注入
-
使用mysql_query()函數
mysql_query()的特別是它將只執行SQL代碼的第一條，而後面的並不會執行。回想在最前面的例子中，黑客通過代碼來例後台執行了多條SQL命令，顯示出了所有表的名稱。所以mysql_query()函數可以取到進一步保護的作用。我們進一步演化剛才的代碼就得到了下面的代碼:
//connection
$database
=
mysql_connect("localhost",
"username","password");
//db
selection
$q
=
mysql_query("SELECT
`id`
FROM
`users`
WHERE
`username`=
'
"
.mysql_real_escape_string(
$_GET['username']
).
"
'
AND
`password`=
'
"
.mysql_real_escape_string(
$_GET['password']
).
"
'
",
$database);?>除此之外，我們還可以在PHP代碼中判斷輸入值的長度，或者專門用一個函數來檢查輸入的值。所以在接受用戶輸入值的地方一定要做好輸入內容的過濾和檢查。當然學習和了解最新的SQL注入方式也非常重要，這樣才能做到有目的的防範。如果使用的是平台式的網站系統如Wordpress，要注意及時打上官方的補丁或升級到新的版本。

Ⅳ 如何在PHP里防止SQL注入

過濾一些常見的資料庫操作關鍵字,
select ,insert,update,delete,and,*等或通過系統函數addslashes對內容進行過濾
php配置文件中register_globals=off;設置為關閉狀態.(作用將注冊全局變數關閉);如接收POST表單的值使用$_POST['user'],假設設置為ON的話$user才接收值
sql語句書寫的時候盡量不要省略小引號(tab上面那個)和單引號
提高資料庫命名技巧,對於一些重要的欄位根據程序的特點命名,使之不易被猜中
對於常的方法加以封裝,避免直接暴漏SQL語句
開啟PHP安全模式safe_mode=on
打開magic_quotes_gpc來防止SQL注入,默認為關閉,開啟後自動把用戶提交sql查詢語句進行轉換把"'"轉換成"\'"
控制錯誤信息輸出,關閉錯誤信息提示,將錯誤信息寫到系統日誌
使用MYSQLI或PDO預處理

Ⅵ 怎麼樣在PHP中阻止SQL注入式攻擊

一、
注入式攻擊的類型
可能存在許多不同類型的攻擊動機，但是乍看上去，似乎存在更多的類型。這是非常真實的-如果惡意用戶發現了一個能夠執行多個查詢的辦法的話。
如果你的腳本正在執行一個SELECT指令，那麼，攻擊者可以強迫顯示一個表格中的每一行記錄-通過把一個例如"1=1"這樣的條件注入到WHERE子句中，如下所示(其中，注入部分以粗體顯示)：
SELECT
*
FROM
wines
WHERE
variety
=
'lagrein'
OR
1=1;'
正如我們在前面所討論的，這本身可能是很有用的信息，因為它揭示了該表格的一般結構(這是一條普通的記錄所不能實現的)，以及潛在地顯示包含機密信息的記錄。
一條更新指令潛在地具有更直接的威脅。通過把其它屬性放到SET子句中，一名攻擊者可以修改當前被更新的記錄中的任何欄位，例如下面的例子(其中，注入部分以粗體顯示)：
UPDATE
wines
SET
type='red'，'vintage'='9999'
WHERE
variety
=
'lagrein'
通過把一個例如1=1這樣的恆真條件添加到一條更新指令的WHERE子句中，這種修改范圍可以擴展到每一條記錄，例如下面的例子(其中，注入部分以粗體顯示)：
UPDATE
wines
SET
type='red'，'vintage'='9999
WHERE
variety
=
'lagrein'
OR
1=1;'
最危險的指令可能是DELETE-這是不難想像的。其注入技術與我們已經看到的相同-通過修改WHERE子句來擴展受影響的記錄的范圍，例如下面的例子(其中，注入部分以粗體顯示)：
DELETE
FROM
wines
WHERE
variety
=
'lagrein'
OR
1=1;'
二、
多個查詢注入
多個查詢注入將會加劇一個攻擊者可能引起的潛在的損壞-通過允許多條破壞性指令包括在一個查詢中。在使用MySQL資料庫時，攻擊者通過把一個出乎意料之外的終止符插入到查詢中即可很容易實現這一點-此時一個注入的引號(單引號或雙引號)標記期望變數的結尾;然後使用一個分號終止該指令。現在，一個另外的攻擊指令可能被添加到現在終止的原始指令的結尾。最終的破壞性查詢可能看起來如下所示：
SELECT
*
FROM
wines
WHERE
variety
=
'lagrein';GRANT
ALL
ON
*.*
TO
'BadGuy@%'
IDENTIFIED
BY
'gotcha';'
這個注入將創建一個新的用戶BadGuy並賦予其網路特權(在所有的表格上具有所有的特權);其中，還有一個"不祥"的口令被加入到這個簡單的
SELECT語句中。如果你遵循我們在以前文章中的建議-嚴格限制該過程用戶的特權，那麼，這應該無法工作，因為Web伺服器守護程序不再擁有你撤回的
GRANT特權。但是從理論上講，這樣的一個攻擊可能給予BadGuy自由權力來實現他對你的資料庫的任何操作。
至於這樣的一個多查詢是否會被MySQL伺服器處理，結論並不唯一。這其中的一些原因可能是由於不同版本的MySQL所致，但是大多數情況卻是由於多查詢存在的方式所致。
MySQL的監視程序完全允許這樣的一個查詢。常用的MySQL
GUI-phpMyAdmin，在最終查詢之前會復制出以前所有的內容，並且僅僅這樣做。
但是，大多數的在一個注入上下文中的多查詢都是由PHP的mysql擴展負責管理的。幸好，默認情況下，它是不允許在一個查詢中執行多個指令的;試圖執行兩個指令(例如上面所示的注入)將會簡單地導致失敗-不設置任何錯誤，並且沒有生成任何輸出信息。在這種情況下，盡管PHP也只是"規規矩矩"地實現其預設行為，但是確實能夠保護你免於大多數簡單的注入式攻擊。
PHP5中的新的mysqli擴展(參考http://php.net/mysqli)，就象mysql一樣，內在地也不支持多個查詢，不過卻提供了一個mysqli_multi_query()函數以支持你實現多查詢-如果你確實想這樣做的話。
然而，對於SQLite-與PHP5綁定到一起的可嵌入的SQL資料庫引擎(參考http://sqlite.org/和http:
//php.net/sqlite)情況更為可怕，由於其易於使用而吸引了大量用戶的關注。在有些情況下，SQLite預設地允許這樣的多指令查詢，因為該資料庫可以優化批查詢，特別是非常有效的批INSERT語句處理。然而，如果查詢的結果為你的腳本所使用的話(例如在使用一個SELECT語句檢索記錄的情況下)，sqlite_query()函數卻不會允許執行多個查詢。
三、
INVISION
Power
BOARD
SQL注入脆弱性
Invision
Power
Board是一個著名的論壇系統。2005年五月6號，在登錄代碼中發現了一處SQL注入脆弱性。其發現者為GulfTech
Security
Research的James
Bercegay。
這個登錄查詢如下所示：
$DB->query("SELECT
*
FROM
ibf_members
WHERE
id=$mid
AND
password='$pid'");
其中，成員ID變數$mid和口令ID變數$pid被使用下面兩行代碼從my_cookie()函數中檢索出：
$mid
=
intval($std->my_getcookie('member_id'));$pid
=
$std->my_getcookie('pass_hash');
在此，my_cookie()函數使用下列語句從cookie中檢索要求的變數：
return
urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);
【注意】從該cookie返回的值根本沒有被處理。盡管$mid在使用於查詢之前被強制轉換成一個整數，但是$pid卻保持不變。因此，它很容易遭受我們前面所討論的注入類型的攻擊。
因此，通過以如下方式修改my_cookie()函數，這種脆弱性就會暴露出來：
if
(
!
in_array(
$name，array('topicsread'，
'forum_read'，'collapseprefs')
)
)
{
return
$this->
clean_value(urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]));
}
else
{
return
urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);
}
經過這樣的改正之後，其中的關鍵變數在"通過"全局clean_value()函數後被返回，而其它變數卻未進行檢查。
現在，既然我們大致了解了什麼是SQL注入，它的注入原理以及這種注入的脆弱程度，那麼接下來，讓我們探討如何有效地預防它。幸好，PHP為我們提供了豐富的資源，因此我們有充分的信心預言，一個經仔細地徹底地使用我們所推薦的技術構建的應用程序將會從你的腳本中根本上消除任何可能性的SQL注入-通過在它可能造成任何損壞之前"清理"你的用戶的數據來實現。

Ⅶ PHP中如何防止SQL注入

我把問題和贊同最多的答題翻譯了下來。提問：如果用戶的輸入能直接插入到SQL語句中，那麼這個應用就易收到SQL注入的攻擊，舉個例子：$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");用戶可以輸入諸如 ： value'); DROP TABLE table;-- ,SQL語句就變成這樣了:INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')(譯者註：這樣做的結果就是把table表給刪掉了) 我們可以做什麼去阻止這種情況呢？回答：使用prepared statements（預處理語句）和參數化的查詢。這些SQL語句被發送到資料庫伺服器，它的參數全都會被單獨解析。使用這種方式，攻擊者想注入惡意的SQL是不可能的。要實現這個主要有兩種方式：1. 使用 PDO：$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2. 使用 Mysqli：$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去訪問MySQL資料庫時，真正的prepared statements默認情況下是不使用的。為了解決這個問題，你需要禁用模擬的prepared statements。下面是使用PDO創建一個連接的例子：$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中，錯誤報告模式並不是強制和必須的，但建議你還是添加它。通過這種方式，腳本在出問題的時候不會被一個致命錯誤終止，而是拋出PDO Exceptions，這就給了開發者機會去捕獲這個錯誤。然而第一行的 setAttribute() 是強制性的，它使得PDO禁用模擬的prepared statements並使用真正的prepared statements。這可以確保這些語句和值在被發送到MySQL伺服器之前不會被PHP解析（這使得攻擊者沒有注入惡意SQL的機會）。盡管你可以使用可選的構造函數參數去設置 charset ，但重點需要注意的是小於5.3.6的PHP版本，DSN(Data Source Name)是默認忽略 charset 參數的。說明當你傳一個SQL語句做預處理時會發生什麼？它被資料庫伺服器解析和編譯了。通過指定參數（通過之前例子中的 ? 或者像 :name 這樣的命名式參數）你告訴資料庫引擎你是想過濾它。接著當你調用 execute() 函數時，prepared statements會和你剛才指定的參數的值結合。在此重要的是，參數的值是和編譯過的語句結合，而非一個SQL字元串。SQL注入就是當創建被發送到資料庫的SQL語句時，通過欺騙的手段讓腳本去引入惡意的字元串。因此當你使用單獨的參數發送真實正確的SQL時，你就限制了被某些不是你真實意圖的事情而搞掛掉的風險。使用prepared statements 傳遞的任何參數都會被當做字元串對待（不過資料庫引擎可能會做一些優化，這些參數最終也可能變成numbers）（譯者註：意思就是把參數當做一個字元串而不會去做額外的行為）。比如在上面的例子中，如果 $name 變數的值是 'Sarah'; DELETE * FROM employees ，產生的結果是會去搜索"'Sarah'; DELETE * FROM employees"這一整個字元串，最終的結果你也就不會面對的是一張空表了。使用prepared statements的另一個好處是，如果你在同一session中再次執行相同的語句，也就不會被再次解析和編譯，這樣你就獲得一些速度上的提升。

Ⅷ php如何防止sql注入

額，這是我老師給的答案

答：過濾一些常見的資料庫操作關鍵字,
select ,insert,update,delete,and,*等或通過系內統函數addslashes對內容進行過容濾
php配置文件中register_globals=off;設置為關閉狀態.(作用將注冊全局變數關閉);如接收POST表單的值使用$_POST['user'],假設設置為ON的話$user才接收值
sql語句書寫的時候盡量不要省略小引號(tab上面那個)和單引號
提高資料庫命名技巧,對於一些重要的欄位根據程序的特點命名,使之不易被猜中
對於常的方法加以封裝,避免直接暴漏SQL語句
開啟PHP安全模式safe_mode=on
打開magic_quotes_gpc來防止SQL注入,默認為關閉,開啟後自動把用戶提交sql查詢語句進行轉換把"'"轉換成"\'"
控制錯誤信息輸出,關閉錯誤信息提示,將錯誤信息寫到系統日誌
使用MYSQLI或PDO預處理

Ⅸ PHP要怎麼防止SQL注入

防止注入最簡單的辦法就是本地生成html文件，然後上傳到網站空間內，全站的html是無法被注入攻擊的，除非伺服器被幹掉。如果一定要將php代碼放到網站上，那麼需要防止的內容就要做的很多了，其中最重要的一條就是書寫代碼的規范程度，以及對用戶提交的驗證規范。如果用到專門的cms去做網站的話，一定要定時下載升級，並到相關的官方論壇及一些白客站點查看最新漏洞源碼信息，加以改正，可以有效的防止注入攻擊。

在注冊時防止注入，其實最主要的一條就是在寫入、查詢資料庫之前完成對用戶錄入數據的驗證。具體如何驗證可以網路搜索一下

Ⅹ 如何在PHP中阻止SQL注入

使用預准備語句和參數化查詢。這些是由資料庫伺服器與任何參數分開發送和解析的SQL語句。這樣攻擊者就無法注入惡意SQL。清渭技術小站---（qingwei.tech）

你基本上有兩個選擇來實現這個目標：

使用PDO（適用於任何支持的資料庫驅動程序）：

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

$stmt->execute(array('name' => $name));

foreach ($stmt as $row) {

// do something with $row

}

使用MySQLi（用於MySQL）：

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'

$stmt->execute();

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

// do something with $row

}

如果您要連接到MySQL以外的資料庫，則可以參考特定於驅動程序的第二個選項（例如pg_prepare()，pg_execute()對於PostgreSQL）。PDO是通用選項。

正確設置連接

請注意，在使用PDO訪問MySQL資料庫時，默認情況下不使用實際准備好的語句。要解決此問題，您必須禁用預准備語句的模擬。使用PDO創建連接的示例是：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

// from blog： qingwei.tech

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中，錯誤模式並不是絕對必要的，但建議添加它。這樣，Fatal Error當出現問題時，腳本不會停止。並且它為開發人員提供了catch任何thrown為PDOExceptions的錯誤的機會。

什麼是強制性的，但是，是第一setAttribute()線，它告訴PDO禁用模擬預處理語句和使用真正准備好的語句。這可以確保PHP在將語句和值發送到MySQL伺服器之前不會解析它（使攻擊者可能無法注入惡意SQL）。

雖然您可以charset在構造函數的選項中進行設置，但重要的是要注意PHP的舊版本（<5.3.6）默認忽略 DSN中的charset參數。

說明 清渭技術小站---（qingwei.tech）

會發生什麼是您傳遞給的SQL語句prepare由資料庫伺服器解析和編譯。通過指定參數（如上例中的a ?或命名參數:name），您可以告訴資料庫引擎要過濾的位置。然後，當您調用時execute，預准備語句將與您指定的參數值組合。

這里重要的是參數值與編譯語句結合，而不是SQL字元串。SQL注入通過在創建SQL以發送到資料庫時欺騙腳本來包含惡意字元串。因此，通過從參數中單獨發送實際SQL，可以限制最終出現您不想要的內容的風險。使用預准備語句時發送的任何參數都將被視為字元串（盡管資料庫引擎可能會進行一些優化，因此參數最終也可能作為數字）。在上面的示例中，如果$name變數包含'Sarah'; DELETE FROM employees結果，那麼只需要搜索字元串"'Sarah'; DELETE FROM employees"，您就不會得到一個空表。

使用預准備語句的另一個好處是，如果在同一個會話中多次執行相同的語句，它只會被解析和編譯一次，從而為您帶來一些速度提升。

如果你問過如何為插入操作，這是一個例子（使用PDO）：

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute(array('column' => $unsafeValue));

// from blog： qingwei.tech

准備好的語句可以用於動態查詢嗎？--from 清渭技術小站

雖然您仍然可以為查詢參數使用預准備語句，但動態查詢本身的結構無法進行參數化，並且某些查詢功能無法進行參數化。清渭技術小站---（qingwei.tech）

對於這些特定方案，最好的辦法是使用限制可能值的白名單過濾器：

// Value whitelist from qingwei.tech

// $dir can only be 'DESC' otherwise it will be 'ASC'

if (empty($dir) || $dir !== 'DESC') {

$dir = 'ASC';

}