防止SQL注入:永远不要信任外界输入的数据,特别是来自于客户端的,包括选择框、表单隐藏域和 cookie
来源:互联网 发布:微博十大网络主播投票 编辑:程序博客网 时间:2024/06/03 20:31
永远不要信任外界输入的数据,特别是来自于客户端的,包括选择框、表单隐藏域和 cookie
- 永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。
- 检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数,从简单的变量函数和字符类型函数(比如is_numeric(),ctype_digit())到复杂的Perl 兼容正则表达式函数都可以完成这个工作。
如果程序等待输入一个数字,可以考虑使用 is_numeric() 来检查,或者直接使用settype() 来转换它的类型,也可以用sprintf() 把它格式化为数字。
Example #5 一个实现分页更安全的方法
<?php
settype($offset, 'integer');
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
// 请注意格式字符串中的 %d,如果用 %s 就毫无意义了
$query = sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",
$offset);
?>- 使用数据库特定的敏感字符转义函数(比如 mysql_escape_string() 和 sql_escape_string())把用户提交上来的非数字数据进行转义。如果数据库没有专门的敏感字符转义功能的话addslashes() 和str_replace() 可以代替完成这个工作。看看第一个例子,此例显示仅在查询的静态部分加上引号是不够的,查询很容易被攻破。
- 要不择手段避免显示出任何有关数据库的信心,尤其是数据库结构。参见错误报告和错误处理函数。
- 也可以选择使用数据库的存储过程和预定义指针等特性来抽象数库访问,使用户不能直接访问数据表和视图。但这个办法又有别的影响。
除此之外,在允许的情况下,使用代码或数据库系统保存查询日志也是一个好办法。显然,日志并不能防止任何攻击,但利用它可以跟踪到哪个程序曾经被尝试攻击过。日志本身没用,要查阅其中包含的信息才行。毕竟,更多的信息总比没有要好。
阅读全文
0 0
- 防止SQL注入:永远不要信任外界输入的数据,特别是来自于客户端的,包括选择框、表单隐藏域和 cookie
- 【安全设计准则】永远不要相信客户端的输入
- php:输入值/表单提交参数过滤,防止sql注入或非法攻击的方法
- 输入值/表单提交参数过滤有效防止sql注入的方法
- 输入值/表单提交参数过滤有效防止sql注入的方法
- 永远不要相信用户的输入
- sql注入的本质和如何防止sql注入问题
- 防止SQL注入和特殊字符输入
- 对输入框的特殊字串进行过滤,防止SQL注入
- 防止sql注入的方法!
- 防止SQL注入的正途
- 防止sql注入的办法
- 防止SQL注入的方法
- 防止sql注入的源代码
- SqlParameter防止SQL的注入
- 防止sql注入的方法
- sql防止注入的方法
- 防止sql注入的方法
- 提醒
- cs231n笔记(8)--卷积神经网络CNN
- java包装类默认值==比较空指针异常详解
- 深入浅出mysql-sql基础
- 数据结构实验之排序四:寻找大富翁
- 防止SQL注入:永远不要信任外界输入的数据,特别是来自于客户端的,包括选择框、表单隐藏域和 cookie
- Rhyme/Hibernate getCurrentSession()与openSession()的区别
- 《PCL点云库学习&VS2010(X64)》Part 48 基于霍夫变换的点云平面检测法
- spring boot guava cache 缓存学习
- 微信小程序商品筛选,侧方弹出动画选择页面
- js实现星星评分功能的实现,并获取评分多少的功能(附源码)
- 学习矢量量化-LVQ
- Scala中for循环逆序遍历数组
- Hcdp认证培训是什么?