大家好,今天小编关注到一个比较有意思的话题,就是关于php 防注入的问题,于是小编就整理了1个相关介绍php 防注入的解答,让我们一起看看吧。
php如何防止sql注入攻击?
防sql注入有很多方式,第一种是前端过滤!利用js来防止sql注入!
第二后端防止,利用函数将接收的数据进行过滤添加双引号!还有将注释等符号进行反斜杠处理!
第三利用php预处理可以有效防止sql注入!
注入式攻击的类型
可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。
如
果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示):
SELECT * FROM sites WHERE site = 'html580.com' OR 1=1;'
正如我们在前面所讨论的,这本身可能是很有用的信息,因为它揭示了该表格的一般结构(这是一条普通的记录所不能实现的),以及潜在地显示包含机密信息的记录。
一条更新指令潜在地具有更直接的威胁。通过把其它属性放到SET子句中,一名攻击者可以修改当前被更新的记录中的任何字段,例如下面的例子(其中,注入部分以粗体显示):
UPDATE sites SET site='diygw.com' WHERE =
site='html580.com'
通过把一个例如1=1这样的恒真条件添加到一条更新指令的WHERE子句中,这种修改范围可以扩展到每一条记录,例如下面的例子:
UPDATE sites SET site='diygw.com' WHERE =
site='html580.com OR 1=1;'
最危险的指令可能是DELETE-这是不难想像的。其注入技术与我们已经看到的相同-通过修改WHERE子句来扩展受影响的记录的范围,例如下面的例子:
DELETE FROM sites SET site='diygw.com' WHERE =
site='html580.com OR 1=1;
方法有很多,网上的参考例子也比较多,建议从以下几个方面进行:
一、使用好的php框架
例如目前流行的thinkphp等框架等,已经考虑了这些方面问题,直接应用肯定会比自己写的代码防注入性要强一些,毕竟每个人的水平参差不齐,总有遗漏的地方。
二、每个页面对输入的值进行过滤和校验
这个工作量会比较大,就是验证一下输入的值是否符合要求,比如一个数字参数,传了一些古怪字符进来,都是要过滤的。php里面也有参数设置对get,post值进行处理,去掉分隔符等。
三、服务器托管
最好选择如腾讯云,阿里云这些服务器,相对比自己去其他小机房托管,本身就可以帮阻止一些不必要的攻击了。
四、服务器运行权限
这里有2个地方:
1、设置使用非root用户来运行你的php,防止php拥有太多的执行服务器指令的机会。
2、对于php中,能够上传文件的php程序,以及上传的文件,要进行专门验证,不要让别人有利用这个入口上传木马后台程序的机会。
五、扫描工具
上传程序到服务器以后,可以用例如360的漏洞扫描工具,扫描一下网站,看看有没有明显的漏洞。
希望以上思路可以对大家有所参考和帮助!
-------------------------------------------
本人从事信息系统、互联网、各种应用架构设计开发20年,目前专注于股票期货程序化交易,AI机器学习领域,欢迎交流。
到此,以上就是小编对于php 防注入的问题就介绍到这了,希望介绍关于php 防注入的1点解答对大家有用。