天天躁日日躁狠狠躁AV麻豆-天天躁人人躁人人躁狂躁-天天澡夜夜澡人人澡-天天影视香色欲综合网-国产成人女人在线视频观看-国产成人女人视频在线观看

PHP代碼網站如何防范SQL注入漏洞攻擊建議分享

2014-10-22 08:48:51 分類:php技術 閱讀()
黑客通過SQL注入攻擊可以拿到網站數據庫的訪問權限,之后他們就可以拿到網站數據庫中所有的數據,惡意的黑客可以通過SQL注入功能篡改數據庫中的數據甚至會把數據庫中的數據毀壞掉。做為網絡開發者的你對這種黑客行為恨之入骨,當然也有必要了解一下SQL注入這種功能方式的原理并學會如何通過代碼來保護自己的網站數據庫。今天就通過php和MySQL數據庫為例,分享一下我所了解的SQL注入攻擊和一些簡單的防范措施和一些如何避免SQL注入攻擊的建議。
什么是SQL注入(SQL Injection)?
簡單來說,SQL注入是使用代碼漏洞來獲取網站或應用程序后臺的SQL數據庫中的數據,進而可以取得數據庫的訪問權限。比如,黑客可以利用網站代碼的漏洞,使用SQL注入的方式取得一個公司網站后臺數據庫里所有的數據信息。拿到數據庫管理員登錄用戶名和密碼后黑客可以自由修改數據庫中的內容甚至刪除該數據庫。SQL注入也可以用來檢驗一個網站或應用的安全性。SQL注入的方式有很多種,但本文將只討論最基本的原理,我們將以php和MySQL為例。本文的例子很簡單,如果你使用其它語言理解起來也不會有難度,重點關注SQL命令即可。
一個簡單的SQL注入攻擊案例
假如我們有一個公司網站,在網站的后臺數據庫中保存了所有的客戶數據等重要信息。假如網站登錄頁面的代碼中有這樣一條命令來讀取用戶信息。
復制代碼 代碼如下:
<?
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .$_GET['username']. " ' AND `password`= ' " .$_GET['password']. " ' ";
?>

現在有一個黑客想攻擊你的數據庫,他會嘗試在此登錄頁面的用戶名的輸入框中輸入以下代碼:
' ; SHOW TABLES;
點擊登陸鍵,這個頁面就會顯示出數據庫中的所有表。如果他現在使用下面這行命令:
'; DROP TABLE [table name];
這樣他就把一張表刪除了!
當然,這只是一個很簡單的例子,實際的SQL注入方法比這個要復雜得多,黑客也愿意花大量的時間來不斷嘗試來攻擊你的代碼。有一些程序軟件也可以自動地來不斷嘗試SQL注入攻擊。了解了SQL注入的攻擊原理后,我們來看一下如何防范SQL注入攻擊。
防范SQL注入 - 使用mysql_real_escape_string()函數
在數據庫操作的代碼中用這個函數mysql_real_escape_string()可以將代碼中特殊字符過濾掉,如引號等。如下例:
復制代碼 代碼如下:
<?
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ";
?>

防范SQL注入 - 使用mysql_query()函數
mysql_query()的特別是它將只執行SQL代碼的第一條,而后面的并不會執行。回想在最前面的例子中,黑客通過代碼來例后臺執行了多條SQL命令,顯示出了所有表的名稱。所以mysql_query()函數可以取到進一步保護的作用。我們進一步演化剛才的代碼就得到了下面的代碼:
復制代碼 代碼如下:
<?
//connection
$database = mysql_connect("localhost", "username","password");
//db selection
mysql_select_db("database", $database);
$q = mysql_query("SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ", $database);
?>

除此之外,我們還可以在php代碼中判斷輸入值的長度,或者專門用一個函數來檢查輸入的值。所以在接受用戶輸入值的地方一定要做好輸入內容的過濾和檢查。當然學習和了解最新的SQL注入方式也非常重要,這樣才能做到有目的的防范。如果使用的是平臺式的網站系統如Wordpress,要注意及時打上官方的補丁或升級到新的版本。如果有講得不對的地方或不理解的請在評論區留言。

php技術PHP代碼網站如何防范SQL注入漏洞攻擊建議分享,轉載需保留來源!

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

標簽:
主站蜘蛛池模板: 亚洲精品免播放器在线观看 | 2023极品少妇XXXO露脸 | 肉动漫h黄动漫日本免费观看 | 99精品国产福利在线观看 | 国产日韩欧美三级 | 牛和人交videos欧美 | 欧美丰满熟妇无码XOXOXO | 奶好大下面流了好多水水 | 啦啦啦 中文 日本 韩国 免费 | 一二三四在线视频社区8 | 3344永久在线观看视频免费 | 一本之道高清在线观看免费 | 粉嫩无套白浆第一次jk | 成人特级毛片 | AV97最新无码喷水叫床 | 儿子你得太大了慢点插 | 热99re久久精品国产首页 | 国产手机精品一区二区 | 大陆极品少妇内射AAAAAA | 北岛玲手机在线观看视频观看 | 456亚洲人成在线播放网站 | 尤物国产在线精品三区 | 菠萝蜜国际一区麻豆 | 国产成人精品免费视频软件 | 日本久久久久亚洲中字幕 | 国产偷抇久久精品A片蜜臀AV | 亚洲香蕉网久久综合影院 | 性绞姿始动作动态图 | 极品美女久久久久久久久久久 | 亚洲欧美精品无码大片在线观看 | 韩国精品无码少妇在线观看网站 | 十九禁啊啪射视频在线观看 | 日本老妇一级特黄aa大片 | 欧美多毛的大隂道 | 97精品在线播放 | 一个人免费观看在线视频播放 | 亚洲精品伊人久久久久 | 欧美人与善交大片 | 丰满女朋友在线观看中文 | georgielyall装修工 | 热综合一本伊人久久精品 |