摘要:注入注入是一種惡意攻擊����,用戶利用在表單字段輸入語句的方式來影響正常的執(zhí)行。防范方式是針對非法的代碼包括單雙引號等�,使用函數(shù)。如許多函數(shù)���,如可以包含或文件名防范方式過濾用戶輸入在中設(shè)置禁用和����。這將禁用的遠(yuǎn)程文件。
SQL注入
SQL注入是一種惡意攻擊�����,用戶利用在表單字段輸入SQL語句的方式來影響正常的SQL執(zhí)行��。
防范方式
使用mysql_real_escape_string()����,或者addslashes()過濾數(shù)據(jù)
手動檢查每一數(shù)據(jù)是否為正確的數(shù)據(jù)類型
使用預(yù)處理語句并綁定變量
使用準(zhǔn)備好的預(yù)處理語句
分離數(shù)據(jù)和SQL邏輯
預(yù)處理語句將自動過濾(如:轉(zhuǎn)義)
把它作為一個編碼規(guī)范,可以幫助團隊里的新人避免遇到以上問題
相比于直接執(zhí)行SQL語句�����,預(yù)處理語句有兩個主要優(yōu)點
預(yù)處理語句大大減少了分析時間���,只做了一次查詢(雖然語句多次執(zhí)行)。
綁定參數(shù)減少了服務(wù)器帶寬��,你只需要發(fā)送查詢的參數(shù)�����,而不是整個語句。
預(yù)處理語句針對SQL注入是非常有用的�,因為參數(shù)值發(fā)送后使用不同的協(xié)議,保證了數(shù)據(jù)的合法性�。
而在PHP當(dāng)中,使用預(yù)處理語句主要有兩種方法
使用mysqli數(shù)據(jù)庫
使用PDOStatement類對象
查詢只需要被解析(或準(zhǔn)備)一次��,但可以使用相同或不同的參數(shù)執(zhí)行多次����。當(dāng)查詢準(zhǔn)備好(Prepared)之后,數(shù)據(jù)庫就會分析���,編譯并優(yōu)化它要執(zhí)行查詢的計劃��。對于復(fù)雜查詢來說�,如果你要重復(fù)執(zhí)行許多次有不同參數(shù)的但結(jié)構(gòu)相同的查詢�,這個過程會占用大量的時間,使得你的應(yīng)用變慢����。通過使用一個預(yù)處理語句你就可以避免重復(fù)分析、編譯�����、優(yōu)化的環(huán)節(jié)。簡單來說�,預(yù)處理語句使用更少的資源,執(zhí)行速度也就更快��。
服務(wù)器的措施
關(guān)于SQL注入��,不得不說的是現(xiàn)在大多虛擬主機都會把magic_quotes_gpc選項打開���,在這種情況下所有的客戶端GET和POST的數(shù)據(jù)都會自動進行addslashes處理�,所以此時對字符串值的SQL注入是不可行的���,但要防止對數(shù)字值的SQL注入�����,如用intval()等函數(shù)進行處理�����。但如果你編寫的是通用軟件,則需要讀取服務(wù)器的magic_quotes_gpc后進行相應(yīng)處理����。
XSS攻擊
XSS(跨站點腳本攻擊)是一種攻擊�,由用戶輸入一些數(shù)據(jù)到你的網(wǎng)站�,其中包括客戶端腳本(通常JavaScript)。如果你沒有過濾就輸出數(shù)據(jù)到另一個web頁面��,這個腳本將被執(zhí)行��。
防范方式
是針對非法的HTML代碼包括單雙引號等��,使用htmlspecialchars()函數(shù) ��。
在使用htmlspecialchars()函數(shù)的時候注意第二個參數(shù), 直接用htmlspecialchars($string) 的話,第二個參數(shù)默認(rèn)是ENT_COMPAT,函數(shù)默認(rèn)只是轉(zhuǎn)化雙引號(“), 不對單引號(‘)做轉(zhuǎn)義.
所以,htmlspecialchars函數(shù)更多的時候要加上第二個參數(shù), 應(yīng)該這樣用: htmlspecialchars($string,ENT_QUOTES).當(dāng)然,如果需要不轉(zhuǎn)化如何的引號,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 盡量少用htmlentities, 在全部英文的時候htmlentities和htmlspecialchars沒有區(qū)別,都可以達到目的.但是,中文情況下, htmlentities卻會轉(zhuǎn)化所有的html代碼�,連同里面的它無法識別的中文字符也給轉(zhuǎn)化了。
htmlentities和htmlspecialchars這兩個函數(shù)對 "之類的字符串支持不好,都不能轉(zhuǎn)化, 所以用htmlentities和htmlspecialchars轉(zhuǎn)化的字符串只能防止XSS攻擊,不能防止SQL注入攻擊.
代碼注入
代碼注入是利用計算機漏洞通過處理無效數(shù)據(jù)造成的����。問題出在,當(dāng)你不小心執(zhí)行任意代碼����,通常通過文件包含。寫得很糟糕的代碼可以允許一個遠(yuǎn)程文件包含并執(zhí)行�����。如許多PHP函數(shù),如require可以包含URL或文件名
防范方式
過濾用戶輸入
在php.ini中設(shè)置禁用allow_url_fopen和allow_url_include��。這將禁用require/include/fopen的遠(yuǎn)程文件�����。
文章參考:
https://blog.csdn.net/tim_php...
https://blog.csdn.net/come_on...
https://www.cnblogs.com/wt645...
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/29613.html
