php防止sql注入以及xss跨站脚本攻击

1post数据

封装转义函数 防sql注入  eag：addslashes($username);​addslashes($password);​ 

eag:防止sql注入函数封装 

function deepslashes($data){

#判断$data的表现形式 并且需要处理空的情况

if(empty($data)){

return($data);

}​

#高级简写 return is_array($data) array_map('deepslashes',$data) : addslashes($data);

#初级写法​

if(is_array($data)){

#递归循环遍历处理多维数组

foreach ($data as $v) {

return deepslashes($v);

}

}else{

#单一变量

return addslashes($data);

}

#初级写法​​

}​

2get数据​

指url 传参数导致sql发生改变

解决方案​

①强制转换，使用函数intval 或者 数据类型 的关键字int

②隐式转换，通过运算，只需要+0即可​

3xss跨站脚本攻击​

​ 指恶意攻击向web页面插入html、js标签导致页面出现错误

解决方案

转义标签'<' '>'即可，有以下php函数可解决

htmlspecialchars 函数 和 htmlentites函数​

eag:

​function deepslashes($data){

#判断$data的表现形式 并且需要处理空的情况

if(empty($data)){

return($data);

}​

return is_array($data) array_map('deepslashes',$data) : htmlspecialchars ($data);

}​

额，这是我老师给的答案\x0d\ \x0d\答：过滤一些常见的数据库 *** 作关键字,\x0d\ select ,insert,update,delete,and,等或通过系统函数addslashes对内容进行过滤\x0d\php配置文件中register_globals=off;设置为关闭状态(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值\x0d\sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号\x0d\提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中\x0d\对于常的方法加以封装,避免直接暴漏SQL语句\x0d\开启PHP安全模式safe_mode=on\x0d\打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"\x0d\控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志\x0d\使用MYSQLI或PDO预处理

做为网络开发者的你对这种黑客行为恨之入骨，当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库。今天就通过PHP和MySQL数据库为例，分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议。

简单来说，SQL注入是使用代码漏洞来获取网站或应用程序后台的SQL数据库中的数据，进而可以取得数据库的访问权限。比如，黑客可以利用网站代码的漏洞，使用SQL注入的方式取得一个公司网站后台数据库里所有的数据信息。拿到数据库管理员登录用户名和密码后黑客可以自由修改数据库中的内容甚至删除该数据库。SQL注入也可以用来检验一个网站或应用的安全性。SQL注入的方式有很多种，但本文将只讨论最基本的原理，我们将以PHP和MySQL为例。本文的例子很简单，如果你使用其它语言理解起来也不会有难度，重点关注SQL命令即可。

一个简单的SQL注入攻击案例

假如我们有一个公司网站，在网站的后台数据库中保存了所有的客户数据等重要信息。假如网站登录页面的代码中有这样一条命令来读取用户信息。

$q = "SELECT `id` FROM `users` WHERE `username`= ' " $_GET['username'] " ' AND `password`= ' " $_GET['password'] " ' ";>现在有一个黑客想攻击你的数据库，他会尝试在此登录页面的用户名的输入框中输入以下代码：

' ; SHOW TABLES;

点击登陆键，这个页面就会显示出数据库中的所有表。如果他现在使用下面这行命令：

'; DROP TABLE [table name];

这样他就把一张表删除了！

防范SQL注入 - 使用mysql_real_escape_string()函数

在数据库 *** 作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉，如引号等。如下例：

$q = "SELECT `id` FROM `users` WHERE `username`= ' " mysql_real_escape_string( $_GET['username'] ) " ' AND `password`= ' " mysql_real_escape_string( $_GET['password'] ) " ' ";>防范SQL注入 - 使用mysql_query()函数

mysql_query()的特别是它将只执行SQL代码的第一条，而后面的并不会执行。回想在最前面的例子中，黑客通过代码来例后台执行了多条SQL命令，显示出了所有表的名称。所以mysql_query()函数可以取到进一步保护的作用。我们进一步演化刚才的代码就得到了下面的代码：

//connection

$database = mysql_connect("localhost", "username","password");

//db selection

$q = mysql_query("SELECT `id` FROM `users` WHERE `username`= ' " mysql_real_escape_string( $_GET['username'] ) " ' AND `password`= ' " mysql_real_escape_string( $_GET['password'] ) " ' ", $database);>除此之外，我们还可以在PHP代码中判断输入值的长度，或者专门用一个函数来检查输入的值。所以在接受用户输入值的地方一定要做好输入内容的过滤和检查。当然学习和了解最新的SQL注入方式也非常重要，这样才能做到有目的的防范。如果使用的是平台式的网站系统如Wordpress，要注意及时打上官方的补丁或升级到新的版本。

可以通过占位的方法防注入

$pdo = new PDO("mysql:host=localhost;dbname=XXXX","root","");

$query = "INSERT INTO 数据表名(XXX,XXX,XXX) VALUES(,,)";

$stmt = $pdo->prepare($query);

$stmt -> execute(array("张三","李四","王五"));

这个方法比较多，这里简单举个例子：

提交的变量中所有的

'

(单引号),

"

(双引号),

\

(反斜线)

and

空字符会自动转为含有反斜线的转义字符，给SQL注入带来不少的麻烦。

请看清楚：“麻烦”而已~这并不意味着PHP防范SQL注入，书中就讲到了利用改变注入语句的编码来绕过转义的方法，比如将SQL语句转成ASCII编码（类似：char(100,58,92,108,111,99,97,108,104,111,115,116…)这样的格式），或者转成16进制编码，甚至还有其他形式的编码，这样以来，转义过滤便被绕过去了

//

去除转义字符

function stripslashes_array($array) {

if (is_array($array)) {

foreach ($array as $k => $v) {

$array[$k] = stripslashes_array($v);

}

}

else if (is_string($array)) {

$array = stripslashes($array);

} return $array;

}

@set_magic_quotes_runtime(0); // 判断 magic_quotes_gpc 状态

if (@get_magic_quotes_gpc()) {

$_GET = stripslashes_array($_GET);

$_POST = stripslashes_array($_POST);

$_COOKIE = stripslashes_array($_COOKIE);

}PHP防范SQL注入的代码

$keywords = addslashes($keywords); $keywords =

str_replace("_","\_",$keywords);//转义掉”_” $keywords =

str_replace("%","\%",$keywords);//转义掉”%”

我把问题和赞同最多的答题翻译了下来。提问：如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击，举个例子：$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" $unsafe_variable "')");用户可以输入诸如 ： value'); DROP TABLE table;-- ,SQL语句就变成这样了:INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')(译者注：这样做的结果就是把table表给删掉了) 我们可以做什么去阻止这种情况呢？回答：使用prepared statements（预处理语句）和参数化的查询。这些SQL语句被发送到数据库服务器，它的参数全都会被单独解析。使用这种方式，攻击者想注入恶意的SQL是不可能的。要实现这个主要有两种方式：1 使用 PDO：$stmt = $pdo->prepare('SELECT FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2 使用 Mysqli：$stmt = $dbConnection->prepare('SELECT FROM employees WHERE name = '); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去访问MySQL数据库时，真正的prepared statements默认情况下是不使用的。为了解决这个问题，你需要禁用模拟的prepared statements。下面是使用PDO创建一个连接的例子：$dbConnection = new PDO('mysql:dbname=dbtest;host=127001;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中，错误报告模式并不是强制和必须的，但建议你还是添加它。通过这种方式，脚本在出问题的时候不会被一个致命错误终止，而是抛出PDO Exceptions，这就给了开发者机会去捕获这个错误。然而第一行的 setAttribute() 是强制性的，它使得PDO禁用模拟的prepared statements并使用真正的prepared statements。这可以确保这些语句和值在被发送到MySQL服务器之前不会被PHP解析（这使得攻击者没有注入恶意SQL的机会）。尽管你可以使用可选的构造函数参数去设置 charset ，但重点需要注意的是小于536的PHP版本，DSN(Data Source Name)是默认忽略 charset 参数的。说明当你传一个SQL语句做预处理时会发生什么？它被数据库服务器解析和编译了。通过指定参数（通过之前例子中的 或者像 :name 这样的命名式参数）你告诉数据库引擎你是想过滤它。接着当你调用 execute() 函数时，prepared statements会和你刚才指定的参数的值结合。在此重要的是，参数的值是和编译过的语句结合，而非一个SQL字符串。SQL注入就是当创建被发送到数据库的SQL语句时，通过欺骗的手段让脚本去引入恶意的字符串。因此当你使用单独的参数发送真实正确的SQL时，你就限制了被某些不是你真实意图的事情而搞挂掉的风险。使用prepared statements 传递的任何参数都会被当做字符串对待（不过数据库引擎可能会做一些优化，这些参数最终也可能变成numbers）（译者注：意思就是把参数当做一个字符串而不会去做额外的行为）。比如在上面的例子中，如果 $name 变量的值是 'Sarah'; DELETE FROM employees ，产生的结果是会去搜索"'Sarah'; DELETE FROM employees"这一整个字符串，最终的结果你也就不会面对的是一张空表了。使用prepared statements的另一个好处是，如果你在同一session中再次执行相同的语句，也就不会被再次解析和编译，这样你就获得一些速度上的提升。

你说的只是php代码中可能会允许你使用注入语句，但是一般来说，网站防注入都是在链接数据库的类中加入了转换，也就是说把注入语句的关键字都加上了转义字符。比如你遇到的这种情况，就是被防注入了。

关于你这个问题：

问：输入框中的SQL语句应该如何写？

条件：数据库表、字段全已知，输入框长度不限。

我只能跟你说，你可以在输入框中加入;,/这种符号，让语句解析的时候出现问题，让php把sql语句拼合成两个或两个以上。这样你就可以在第二条语句之后加入你想要执行的命令了。

如果这种方法没有效果，你只能使用溢出的方式来注入！

如果帮助到您，请记得采纳为满意答案哈，谢谢！祝您生活愉快！

vaela

以上就是关于php防止sql注入以及xss跨站脚本攻击全部的内容，包括:php防止sql注入以及xss跨站脚本攻击、php如何防止sql注入、PHP代码网站如何防范SQL注入漏洞攻击建议分享等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！