php中addslashes函数与sql防注入
本文实例讲述了php中addslashes函数与sql防注入。分享给大家供大家参考。具体分析如下:
addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:
echo addcslashes('foo[ ]','a..z'); //输出:foo[ ]
$str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符
echo addslashes($str); //输出经过转义的字符串
定义和用法:addslashes() 函数在指定的预定义字符前添加反斜杠.
这些预定义字符是:单引号 ('),双引号 ("),反斜杠 (),null
语法:addslashes(string),当然这个函数更安全,实例代码如下:
$str="<a href='test'>test</a>"; //定义包含特殊字符的字符串
$new=htmlspecialchars($str,ent_quotes); //进行转换操作
echo $new; //输出转换结果
//不过输出时要用到
$str="jane & 'tarzan'"; //定义html字符串
echo html_entity_decode($str); //输出转换后的内容
echo "<br/>";
echo html_entity_decode($str,ent_quotes); //有可选参数输出的内容
希望本文所述对大家的PHP程序设计有所帮助。
相关推荐
-
PHP针对伪静态的注入总结【附asp与Python相关代码】
本文实例讲述了PHP针对伪静态的注入.分享给大家供大家参考,具体如下: 一:中转注入法 1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了 http://www.xxx.com/news.php/id/1.html 2.测试步骤: 中转注入的php代码:inject.php <?php set_time_limit(0); $id=$_GET["id"]; $id=str_replace(" ","%20
-
php中sql注入漏洞示例 sql注入漏洞修复
在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符.通常,用户可以通过以下接口调用数据库的内容:URL地址栏.登陆界面.留言板.搜索框等.这往往给骇客留下了可乘之机.轻则数据遭到泄露,重则服务器被拿下. 一.SQL注入的步骤 a) 寻找注入点(如:登录界面.留言板等) b) 用户自己构造SQL语句(如:' or 1=1#,后面会讲解) c) 将sql语句发送给数据库管理系统(DBMS) d) DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作 e) DBMS接
-
比较好用的PHP防注入漏洞过滤函数代码
复制代码 代码如下: <?PHP //PHP整站防注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); functi
-
php中$_GET与$_POST过滤sql注入的方法
本文实例讲述了php中$_GET与$_POST过滤sql注入的方法,分享给大家供大家参考.具体分析如下: 此函数只能过滤一些敏感的sql命令了,像id=1这种大家还是需要自己简单过滤了. 主要实现代码如下: 复制代码 代码如下: if (!get_magic_quotes_gpc()) { if (!empty($_GET)) { $_GET = addslashes_deep($_GET); } if (!empty($_POST)) { $_POST = addslashes_deep($
-
PHP+MySQL 手工注入语句大全 推荐
暴字段长度 Order by num/* 匹配字段 and 1=1 union select 1,2,3,4,5--.n/* 暴字段位置 and 1=2 union select 1,2,3,4,5-..n/* 利用内置函数暴数据库信息 version() database() user() 不用猜解可用字段暴数据库信息(有些网站不适用): and 1=2 union all select version() /* and 1=2 union all select database() /* a
-
PHP中防止SQL注入实现代码
一. 注入式攻击的类型 可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型.这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话.本文后面,我们会对此作详细讨论. 如 果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示): SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'
-
Php中用PDO查询Mysql来避免SQL注入风险的方法
当我们使用传统的 mysql_connect .mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制.虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷.而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险. PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展来跟各个数据库的连
-
php+mysql注入页面实现
首先来借鉴一下注入点,以往的注入点是这样的http://www.xxx.com/show.php?id=1,典型的数字型注入. $id=$_GET['id'];//获取GET方式传过来的值并赋值给变量 既然是注入那么肯定要操作数据库. $con = mysql_connect('127.0.0.1','root','root');//使用connect这个函数来连接数据库,然后赋值给变量,connect这个函数有三个 参数分别是数据库地址,账号,密码. mysql_select_db('数据库名
-
discuz的php防止sql注入函数
最近在做一个主题投票网站,客户懂一些程序方面的东西.有特别要求需要过滤一些字符防止sql注入.本来这方面就没有特别的研究过.呵呵,又发扬了一回拿来主义.把discuz论坛的sql防注入函数取了来! 复制代码 代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if
-
整理php防注入和XSS攻击通用过滤
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全. 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是"邪恶"的 2. 弱类型的脚本语言必须保证类型和期望的一致 3.
-
php使用exec shell命令注入的方法讲解
使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此.如果使用了被污染数据,命令注入漏洞就产生了.exec()是用于执行shell命令的函数.它返回执行并返回命令输出的最后一行,但你可以指定一个数组作为第二个参数,这样输出的每一行都会作为一个元素存入数组.使用方式如下: 复制代码 代码如下: <?php$last = exec('ls', $output, $return);print_r($output);echo "Return [$return]&quo
-
PHP防注入安全代码
简述:/************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST.$_GET 功能:防注入 **************************/ 复制代码 代码如下: <?php //要过滤的非法字符 $ArrFiltrate=array("'",";","union"); //出错后要跳转的url,不填则默认前一页 $StrG
随机推荐
- angularjs实现简单的购物车功能
- vue2组件实现懒加载浅析
- vbs与bat混编修改虚拟盘符的卷标
- asp.net实现的MD5加密和DES加解密算法类完整示例
- WebGL利用FBO完成立方体贴图效果完整实例(附demo源码下载)
- JavaScript 动态加载脚本和样式的方法
- 解读Python编程中的命名空间与作用域
- go语言中时间戳格式化的方法
- js改变style样式和css样式的简单实例
- Java使用JDBC连接Oracle_MSSQL实例代码
- Android获取高清app图标代码分享
- VBS教程:属性-Column 属性
- 批处理中实现替换文本内容
- jquery通过扩展select控件实现支持enter或focus选择的方法
- js之完全兼容ie与firefox的拖动层代码[测试好用]
- Vue异步加载about组件
- 在Mac OS上安装Tomcat服务器的教程
- C++ 搬水果贪心算法实现代码
- Python变量类型知识点总结
- java web中对json的使用详解