防止MySQL注入或HTML表单滥用的PHP程序

MySQL注入的意图是接管网站数据库并窃取信息。常见的开源数据库,如MySQL,已经被许多网站开发人员用来储存重要信息,如密码,个人信息和管理信息。
MySQL之所以流行,是因为它与最流行的服务器端脚本语言PHP一起使用。而且,PHP是主导互联网的Linux- Apache服务器的主要语言。因此,这意味着黑客可以很容易地利用PHP就像Windows的间谍软件一样。
黑客向一个无担保的网页表单输入大量恶意代码(通过下拉菜单,搜索框,联系表单,查询表单和复选框)。
恶意代码将被送到MySQL数据库,然后“注入”。要查看这个过程,首先考虑以下基本的MySQL SELECT查询语句:
SELECT * FROM xmen WHERE username = ‘wolverine'
此查询会向有“xmen”表的数据库要求返回某一段MySQL中用户名为“wolverine”的数据。
在Web表单中,用户将输入wolverine,然后这些数据将被传到MySQL查询。
如果输入无效,黑客还有其他方法控制数据库,如设置用户名:
‘ OR '‘='‘
你可能认为使用正常的PHP和MySQL句法执行输入是安全的,因为每当有人输入恶意代码,他们将会得到一个“无效的查询”的消息,但事实并非如此。黑客很聪明,且因为涉及数据库清理和重设管理权限,任何一个安全漏洞都不容易纠正。
两种对MySQL注入攻击的常见误解如下:
1.网管认为恶意注入可用防病毒软件或反间谍软件清理。事实是,这种类型的感染利用了MySQL数据库的弱点。它不能简单地被任何反间谍软件或防病毒程序删除。
2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。事实并非如此。这种类型的感染是由于有人将恶意代码输入到网站不受保护表单,然后访问数据库。MySQL注入可通过删除恶意脚本清除掉,而不是使用防病毒程序。
用户输入验证流程
备份一个清洁的数据库,并放置在服务器外。输出一套MySQL表并保存在桌面。
然后转到服务器,先暂时关闭表单输入。这意味着表单不能处理数据,网站被关闭了。
然后启动清理进程。首先,在您的服务器上,清理遗留的混乱的MySQL注入。更改所有的数据库,FTP和网站的密码。
在最坏的情况下,如果你清理迟了,你可以再次检查在您服务器上运行的隐藏程序。这些隐藏程序是黑客安装的木马。将其完全删除并更改所有FTP权限。扫描服务器上所有木马程序和恶意软件。
当您修改PHP脚本程序时,将处理表单数据。防止MySQL注入的一个好办法是:连用户数据也不信任。用户输入验证对于防止MySQL注入是相当重要的。
设计一个过滤器筛选出用户输入,以下是几点提示:
1.输入到表单的是数字。你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。
2.如果是Email地址。验证其是否由允许的字符组合构成,如“ @ ” ,A-Z,a-z或一些数字。
3.如果是人名或用户名。可以通过是否包含任何非法字符验证它,如and和*,是可用于SQL注入的恶意字符。
验证数字输入
下面的脚本验证了是否输入一个从0.001至无限大的有效数字。值得一提的是,在一个PHP程序中,甚至可以允许使用一定范围内的数字。使用此验证脚本可确保输入到表单的只是一个数字。
假设在程序中有三个数字变量;您需要将它们进行验证,我们将它们命名num1 , num2和num3:


代码如下:

//Validate numerical input
  if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001)
  {
  }
  else
  {
  }
  ?>

And条件可被延长到能容纳超过三个数字。所以,如果你有10个,您将只需要扩展AND语句。
这可以用来验证一个只接受数字的表单,如合同数量,许可证号码,电话号码等。
验证文字和邮件地址的输入
以下可以用于验证诸如用户名,名字以及电子邮件地址的表单输入:


代码如下:

//Validate text input
  if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name']))
  {
  }
  else
  if ($empty==0)
  {
  }
  else
  {
  }
  ?>

该验证脚本的一个优点是,它不接受空白输入。一些恶意用户还通过空白投入操纵数据库。使用上面的脚本,只验证一个文字变量, “ $name”。这意味着,如果有三个文字变量,你可以分别对每个变量设置一个验证脚本,以确保每一个变量都在进入数据库前通过了审查。

(0)

相关推荐

  • PHP获取mysql数据表的字段名称和详细信息的方法

    首先我们需要了解下查询MySQL数据库/表相关信息的SQL语句: 复制代码 代码如下: SHOW DATABASES                                //列出 MySQL Server 数据库. SHOW TABLES [FROM db_name]                    //列出数据库数据表. SHOW CREATE TABLES tbl_name                    //导出数据表结构. SHOW TABLE STATUS [FR

  • php empty函数判断mysql表单是否为空

    值来进行判断. 很简单的,给一个例子. 方法一: 复制代码 代码如下: $sql = "select * form abc" $result = mysql_query($sql); $row = mysql_fetch_array($result); if(empty($row))//开始判断是够为空 { echo "null"; } else { echo "not null"; } 方法二: 复制代码 代码如下: $sql = "

  • php列出mysql表所有行和列的方法

    本文实例讲述了php列出mysql表所有行和列的方法.分享给大家供大家参考.具体实现方法如下: 复制代码 代码如下: <html> <head> <title>Selecting Data</title> </head> <body> <?php $user = "root"; $pass = ""; $db = "mydatabase"; $link = mysql_

  • PHP表单数据写入MySQL数据库的代码

    废话不多说了,直接给大家贴代码了,具体代码如下所示: <h插入操作</h <?php if(!isset($_POST['submit'])){ //如果没有表单提交,显示一个表单 ?> <form action="" method="post"> 国家:<input type="text" name="country" /> 动物名称(英文):<input type=&q

  • PHP操作mysql数据库分表的方法

    一般来说,当我们的数据库的数据超过了100w记录的时候就应该考虑分表或者分区了,这次我来详细说说分表的一些方法.首先,我们需要想好到底分多少个 表,前提当然是满足应用.这里我使用了一个比较简单的分表方法,就是根据自增id的尾数来分,也就是说分0-9一共10个表,其取值也很好做,就是对10 进行取模.另外,还可以根据某一字段的md5值取其中几位进行分表,这样的话,可以分的表就很多了. 好了,先来创建表吧,代码如下: CREATE TABLE `ttlsa_com`.`article_0` ( `i

  • php+mysqli实现批量替换数据库表前缀的方法

    本文实例讲述了php+mysqli实现批量替换数据库表前缀的方法.分享给大家供大家参考.具体分析如下: 在php中有时我们要替换数据库中表前缀但是又不苦于一个个表去修改前缀,这里我自己写了一个mysqli批量替换数据库表前缀的php程序,感兴趣的朋友可以参考一下,代码如下: <?php header ( 'http-equiv="Content-Type" content="text/html; charset=utf-8"' ); $DB_host = &q

  • php mysql获取表字段名称和字段信息的三种方法

    php mysql获取表字段名称和字段信息的三种方法 先给出本实例中使用的表的信息: 使用desc获取表字段信息 php代码如下: <?php mysql_connect("localhost","root",""); mysql_select_db("test"); $query = "desc student"; $result = mysql_query($query); while($row=

  • php获取mysql数据库中的所有表名的代码

    复制代码 代码如下: $server = 'localhost'; $user = 'root'; $pass = ''; $dbname = 'dayanmei_com'; $conn = mysql_connect($server,$user,$pass); if(!$conn) die("数据库系统连接失败!"); mysql_select_db($dbname) or die("数据库连接失败!"); $result = mysql_query("

  • PHP 获取MySQL数据库里所有表的实现代码

    复制代码 代码如下: function list_tables($database) { $rs = mysql_list_tables($database); $tables = array(); while ($row = mysql_fetch_row($rs)) { $tables[] = $row[0]; } mysql_free_result($rs); return $tables; } 但由于mysql_list_tables方法已经过时,运行以上程序时会给出方法过时的提示信息,

  • php检测mysql表是否存在的方法小结

    本文实例讲述了php检测mysql表是否存在的方法.分享给大家供大家参考,具体如下: pdo: <?php $dsn = 'mysql:dbname=test;host=127.0.0.1'; $user = 'root'; $password = ''; try { $pdo = new PDO($dsn, $user, $password); } catch (PDOException $e) { die("数据库连接失败".$e->getMessage()); } $

  • php+mysql+ajax实现单表多字段多关键词查询的方法

    本文实例讲述了php+mysql+ajax实现单表多字段多关键词查询的方法.分享给大家供大家参考,具体如下: 单表多字段查询在一些稍微复杂一点的查询中十分有用.这里主要利用MySQL数据库中的concat函数实现单表多字段多关键词查询.并且显示查询结果的表格可根据所选数据表动态生成. html代码: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title><

随机推荐