YII2框架学习 安全篇(四) sql注入攻击和防范
来源:互联网 发布:java防止页面脚本注入 编辑:程序博客网 时间:2024/04/26 15:11
先看百度百科的介绍,SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。其实防范在基础篇数据库操作讲过一点,今天好好的专门讲一讲。
来看一个例子:
select * from articles where score<60 and title like '%' or 1=1 --%'
这个搜索语句将无视搜索条件,因为or 1=1 是永远成立的。怎么应对呢,两种方法,第一:屏蔽关键字,or之类的,但是这种方法并不是很好的方式,如果用户搜索内容本来就有or的话就不行了。第二种方式是对搜索内容加\转义,但是在某些情况下会被绕过转义。php的函数addslashes()方法可以实现转义,在搜索内容前面加上chr(0xdf)就可以绕开的。
普通的方法都不靠谱,来看看YII框架是如何防止sql注入的。其实在基础篇数据库操作讲过,通过使用PDO占位符的方式,比如:where('name=:name',[':name'=>'zhangsan'])。在查询过程中,实际上是两条指令过去的,彻底的把查询语句和内容分开,可以说是没有漏洞的方法。而PDO的实现过程,我转载了一篇写得比较好的文章,有兴趣的可以看看。
另外 PHP防SQL注入不要再用addslashes和mysql_real_escape_string了 http://blog.csdn.net/hornedreaper1988/article/details/43520257 也值得一看
- YII2框架学习 安全篇(四) sql注入攻击和防范
- YII2框架学习 安全篇(一) XSS攻击和防范(上)
- YII2框架学习 安全篇(二) XSS攻击和防范(下)
- YII2框架学习 安全篇(三) csrf攻击和防范
- Web安全篇之SQL注入攻击
- YII2框架安全篇
- YII2框架学习 安全篇(五) 文件上传漏洞
- SQL注入攻击和防范
- sql注入攻击和防范
- 防范SQL注入攻击
- 技巧和诀窍:防范SQL注入攻击
- 技巧和诀窍:防范SQL注入攻击
- 技巧和诀窍:防范SQL注入攻击
- 技巧和诀窍:防范SQL注入攻击
- YII2框架学习 扩展篇(四) 依赖注入
- 防范SQL注入式攻击~
- 防范SQL注入式攻击
- 防范SQL注入式攻击
- Java篇--抽象类和接口
- python学习之旅-爬虫
- mysql5.7group by异常引发的思考
- javascript
- JAVA Spring 第一课
- YII2框架学习 安全篇(四) sql注入攻击和防范
- 什么是伪代码?
- 恩典与道德的区别
- mybatis自动生成sql变量及批量insert限制
- BIOS界面开启VT教程
- Linux系统编程与网络编程
- Linux:重定向(redirect)
- 数据结构基础学习笔记 part 2
- eclipse使用github实现版本控制,轻松解决代码管理问题