PHP中防止SQL注入攻击和XSS攻击的两个简单方法
mysql_real_escape_string()
所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId)
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
相关推荐
-
网站存在啊D注入工具的SQL注入点的修复方法
前日和昨日,我的网站还有我给老师做的单片机网站相继被黑.在我的网站里莫名其妙的多出一篇文章,还有多出一组贴图.正在纳闷是谁可以登陆我的后台发表文章和图片的时候,我的qq弹出消息,一个陌生人给我发消息,说我的网站有漏洞,还说是他弄了我的网站.不过还好,他给我详细说了黑我网站的方法,还提醒我好好修补修补,不然会被别人黑的.从他那得知,他用的是"啊D注入工具",先找我的网站是否存在可注入点,如果有,进行注入,能够破解得到后台密码. 当晚我把那个"啊D注入工具"下载下来研究
-
Sql注入工具_动力节点Java学院整理
BSQL Hacker 10个SQL注入工具 BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入. BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群.BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构. The Mole 10个SQL注入工具 The Mole是一款开源的自动化S
-
php防止SQL注入详解及防范
一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出).这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误.对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: <form action="/login.php" method="POST"><p>Userna
-
PHP+MySQL 手工注入语句大全 推荐
暴字段长度 Order by num/* 匹配字段 and 1=1 union select 1,2,3,4,5--.n/* 暴字段位置 and 1=2 union select 1,2,3,4,5-..n/* 利用内置函数暴数据库信息 version() database() user() 不用猜解可用字段暴数据库信息(有些网站不适用): and 1=2 union all select version() /* and 1=2 union all select database() /* a
-
php中防止SQL注入的最佳解决方法
如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成: 复制代码 代
-
利用SQL注入漏洞拖库的方法
想在本地测试的话,可以在此免积分下载:利用SQL注入漏洞拖库 同上一篇文章一样,我们需要创建数据表,并在表中出入几条数据以备测试之用. 在数据库中建立一张表: 复制代码 代码如下: CREATE TABLE `article` ( `articleid` int(11) NOT NULL AUTO_INCREMENT, `title` varchar(100) CHARACTER SET utf8 NOT NULL DEFAULT '', `content` text CHARACTER SET
-
discuz的php防止sql注入函数
最近在做一个主题投票网站,客户懂一些程序方面的东西.有特别要求需要过滤一些字符防止sql注入.本来这方面就没有特别的研究过.呵呵,又发扬了一回拿来主义.把discuz论坛的sql防注入函数取了来! 复制代码 代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if
-
利用SQL注入漏洞登录后台的实现方法
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的. 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞.但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的. 前些天,网上传得沸沸扬扬的"拖库"事件给我们敲响了安全警钟. 在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符.通常,用户可以通过以下接口调用数据库的内容:URL地址栏.登陆界面.留言板.搜索框等.这往往给骇客留下了可乘之机.轻则数据遭到泄露,重则服务器被拿下.
-
整理比较全的Access SQL注入参考
Access SQL注入参考 版本 0.2.1(最近更新 10/10/2007)原作者不详 描述 SQL查询及注释 注释符 Access中没有专门的注释符号.因此"/*", "--"和"#"都没法使用.但是可以使用空字符"NULL"(%00)代替: ' UNION SELECT 1,1,1 FROM validTableName%00 语法错误信息 "[Microsoft][Driver ODBC Microsoft
-
PHP中防止SQL注入实现代码
一. 注入式攻击的类型 可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型.这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话.本文后面,我们会对此作详细讨论. 如 果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示): SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'
随机推荐
- 详解new function(){}和function(){}() 区别分析
- ASP.NET中的几种弹出框提示基本实现方法
- Windows 安装配置 Zabbix Agentd
- 通过注册表删除远程桌面连接IP记录
- Android Studio获取网络JSON数据并处理的方法
- 详解堆排序算法原理及Java版的代码实现
- 详解ABP框架中的数据过滤器与数据传输对象的使用
- .net 读取非标准配置文件的小例子
- Python中使用Queue和Condition进行线程同步的方法
- spring boot实战之使用JSP的示例
- APP添加CNZZ统计插件教程 Android版添加phonegap
- JavaScript中的关联数组问题
- JS的参数传递示例介绍
- asp.net ext treepanel 动态加载XML的实现方法
- jsp的常用指令有哪些(编译指令/动作指令整理)
- C/C++中如何判断某一文件或目录是否存在
- sqlserver 聚集索引和非聚集索引实例
- jQuery实现切换页面布局使用介绍
- IIS无法启动提示“服务没有及时响应启动或控制请求”的解决方法[图解]
- java关于调用方法的汇总