PHP代碼網(wǎng)站如何防范SQL注入漏洞攻擊建議分享

做為網(wǎng)絡(luò)開發(fā)者的你對(duì)這種黑客行為恨之入骨，當(dāng)然也有必要了解一下SQL注入這種功能方式的原理并學(xué)會(huì)如何通過(guò)代碼來(lái)保護(hù)自己的網(wǎng)站數(shù)據(jù)庫(kù)。今天就通過(guò)PHP和MySQL數(shù)據(jù)庫(kù)為例，分享一下我所了解的SQL注入攻擊和一些簡(jiǎn)單的防范措施和一些如何避免SQL注入攻擊的建議。

10年積累的成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先做網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有鎮(zhèn)康免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

簡(jiǎn)單來(lái)說(shuō)，SQL注入是使用代碼漏洞來(lái)獲取網(wǎng)站或應(yīng)用程序后臺(tái)的SQL數(shù)據(jù)庫(kù)中的數(shù)據(jù)，進(jìn)而可以取得數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。比如，黑客可以利用網(wǎng)站代碼的漏洞，使用SQL注入的方式取得一個(gè)公司網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)里所有的數(shù)據(jù)信息。拿到數(shù)據(jù)庫(kù)管理員登錄用戶名和密碼后黑客可以自由修改數(shù)據(jù)庫(kù)中的內(nèi)容甚至刪除該數(shù)據(jù)庫(kù)。SQL注入也可以用來(lái)檢驗(yàn)一個(gè)網(wǎng)站或應(yīng)用的安全性。SQL注入的方式有很多種，但本文將只討論最基本的原理，我們將以PHP和MySQL為例。本文的例子很簡(jiǎn)單，如果你使用其它語(yǔ)言理解起來(lái)也不會(huì)有難度，重點(diǎn)關(guān)注SQL命令即可。

一個(gè)簡(jiǎn)單的SQL注入攻擊案例

假如我們有一個(gè)公司網(wǎng)站，在網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)中保存了所有的客戶數(shù)據(jù)等重要信息。假如網(wǎng)站登錄頁(yè)面的代碼中有這樣一條命令來(lái)讀取用戶信息。

$q

=

"SELECT

`id`

FROM

`users`

WHERE

`username`=

'

"

.$_GET['username'].

"

'

AND

`password`=

'

"

.$_GET['password'].

"

'

";?現(xiàn)在有一個(gè)黑客想攻擊你的數(shù)據(jù)庫(kù)，他會(huì)嘗試在此登錄頁(yè)面的用戶名的輸入框中輸入以下代碼:

'

;

SHOW

TABLES;

點(diǎn)擊登陸鍵，這個(gè)頁(yè)面就會(huì)顯示出數(shù)據(jù)庫(kù)中的所有表。如果他現(xiàn)在使用下面這行命令:

';

DROP

TABLE

[table

name];

這樣他就把一張表刪除了!

防范SQL注入

-

使用mysql_real_escape_string()函數(shù)

在數(shù)據(jù)庫(kù)操作的代碼中用這個(gè)函數(shù)mysql_real_escape_string()可以將代碼中特殊字符過(guò)濾掉，如引號(hào)等。如下例:

$q

=

"SELECT

`id`

FROM

`users`

WHERE

`username`=

'

"

.mysql_real_escape_string(

$_GET['username']

).

"

'

AND

`password`=

'

"

.mysql_real_escape_string(

$_GET['password']

).

"

'

";?防范SQL注入

-

使用mysql_query()函數(shù)

mysql_query()的特別是它將只執(zhí)行SQL代碼的第一條，而后面的并不會(huì)執(zhí)行。回想在最前面的例子中，黑客通過(guò)代碼來(lái)例后臺(tái)執(zhí)行了多條SQL命令，顯示出了所有表的名稱。所以mysql_query()函數(shù)可以取到進(jìn)一步保護(hù)的作用。我們進(jìn)一步演化剛才的代碼就得到了下面的代碼:

//connection

$database

=

mysql_connect("localhost",

"username","password");

//db

selection

$q

=

mysql_query("SELECT

`id`

FROM

`users`

WHERE

`username`=

'

"

.mysql_real_escape_string(

$_GET['username']

).

"

'

AND

`password`=

'

"

.mysql_real_escape_string(

$_GET['password']

).

"

'

",

$database);?除此之外，我們還可以在PHP代碼中判斷輸入值的長(zhǎng)度，或者專門用一個(gè)函數(shù)來(lái)檢查輸入的值。所以在接受用戶輸入值的地方一定要做好輸入內(nèi)容的過(guò)濾和檢查。當(dāng)然學(xué)習(xí)和了解最新的SQL注入方式也非常重要，這樣才能做到有目的的防范。如果使用的是平臺(tái)式的網(wǎng)站系統(tǒng)如Wordpress，要注意及時(shí)打上官方的補(bǔ)丁或升級(jí)到新的版本。

php怎么實(shí)現(xiàn)驗(yàn)證碼的

?驗(yàn)證碼功能機(jī)制實(shí)現(xiàn)思路

常規(guī)的驗(yàn)證碼實(shí)現(xiàn)：

a、產(chǎn)生一張png的圖片

b、為圖片設(shè)置背景色

c、設(shè)置字體顏色和樣式

d、產(chǎn)生4位數(shù)的隨機(jī)的驗(yàn)證碼

e、把產(chǎn)生的每個(gè)字符調(diào)整旋轉(zhuǎn)角度和位置畫到png圖片上

f、加入噪點(diǎn)和干擾線防止注冊(cè)機(jī)器分析原圖片來(lái)惡意注冊(cè)

g、輸出圖片

h、釋放圖片所占內(nèi)存

i、將驗(yàn)證碼保存到session或是數(shù)據(jù)庫(kù)

j、將和輸入的驗(yàn)證碼進(jìn)行對(duì)比

短信(郵箱)驗(yàn)證碼機(jī)制：

a、產(chǎn)生4-6位數(shù)的隨機(jī)的驗(yàn)證碼

b、把產(chǎn)生的每個(gè)字符保存到session或是數(shù)據(jù)庫(kù)

c、將驗(yàn)證碼發(fā)送到用戶的手機(jī)(郵箱)

d、用戶在規(guī)定時(shí)間內(nèi)進(jìn)行輸入

e、將驗(yàn)證碼從session或是數(shù)據(jù)庫(kù)中取出

f、將和輸入的驗(yàn)證碼進(jìn)行對(duì)比驗(yàn)證

phpwind V8.7版本怎么防注冊(cè)機(jī)惡意注冊(cè)；注冊(cè)時(shí)的必填項(xiàng)都沒(méi)填就注冊(cè)成功了是怎么回事？

這個(gè)我也研究，感覺(jué)是產(chǎn)品本身問(wèn)題，我在研究發(fā)現(xiàn)這個(gè)產(chǎn)品問(wèn)題很多，目前我是在使用另一款產(chǎn)品，他是比論壇升一級(jí)的web2.0產(chǎn)品。這個(gè)叫spb。你可以去看看。不錯(cuò)，而且有完善文檔和服務(wù)。

標(biāo)題名稱：php數(shù)據(jù)庫(kù)防止注冊(cè)機(jī),php實(shí)現(xiàn)注冊(cè)
URL分享：http://chinadenli.net/article27/dsiphcj.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、定制網(wǎng)站、域名注冊(cè)、做網(wǎng)站、全網(wǎng)營(yíng)銷推廣、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)