php防止SQL注入攻擊與XSS攻擊的方法

本文格式為Word版，下載可任意編輯——php防止SQL注入攻擊與XSS攻擊的方法php防止SQL注入攻擊與XSS攻擊的方法

在php中防止SQL注入攻擊與XSS攻擊的二個簡樸方法，感興趣的摯友可以參考下，就跟隨我一起去了解下吧，想了解更多相關(guān)信息請持續(xù)關(guān)注我們我!

本節(jié)內(nèi)容：

SQL注入攻擊與XSS攻擊的防范方法

在php編程中，全體有打印的語句如echo，print等在打印前都要使用htmlentities舉行過濾，這樣可以防止Xss。

留神，中文要寫出htmlentitiess$name,ENT_NOQUOTES,GB2312。

mysql_real_escape_string

SQL語句中，假設(shè)有類似這樣的寫法：

復(fù)制代碼代碼例如:

select*fromcdrwheresrc=.$userId;

要修改為：

復(fù)制代碼代碼例如:

$userId=mysql_real_escape_string$userId

另外，有打印的語句如echo，print等在打印前都要使用htmlentities舉行過濾，這樣可以防止Xss，留神，中文要寫出htmlentities$name,ENT_NOQUOTES,GB2312。

首先，來看下php中的sql注入攻擊。

復(fù)制代碼代碼如下:

?php

mysql_connectlocalhost,root,123456ordie數(shù)據(jù)庫連接失敗!;

mysql_select_dbtest1;

$user=$_post[uid];

$pwd=$_POST[pass];

ifmysql_querySELECT*fromwhere

admin

=`username`=$useror`password`=$pwd

echo用戶告成登陸..;

eles

echo用戶名或密碼出錯;

?

以上代碼用于檢測用戶名或密碼是否正確，可是在一些惡意攻擊者中提交一些敏感代碼，后果可想而知。

post判斷注入的方式有2種。

1、在form表單的文本框輸入or1=1或者and1=1

在查詢數(shù)據(jù)庫的語句就理應(yīng)是：

SELECTadminfromwherelogin=`user`=or1=1or`pass`=xxxx

當然也不會展現(xiàn)什么錯誤,由于or在sql的語句中代表和，或的`意思。當然也會提示錯誤。

當時我們已經(jīng)察覺了可以執(zhí)行SQL語句之后就可以查詢當前表的全體信息。例如：正確的管理員賬戶和密碼舉行登錄入侵。。

修復(fù)方式1：

使用javascript腳本過濾特殊字符不推舉,指標不治本

假設(shè)攻擊者禁用了javascript還是可以舉行SQL注入攻擊。。

修復(fù)方式2：

使用mysql的自帶函數(shù)舉行過濾。

復(fù)制代碼代碼如下:

?php

//省略連接數(shù)據(jù)庫等操作

$user=mysql_real_escape_string$_POST[user];

mysql_queryselect*fromadminwhrer`username`=$user;

?

2、XSS攻擊以及防范。

提交表單：

復(fù)制代碼代碼如下:

formmethod=postaction=

intuptyep=textname=test

intuptyep=submitname=subvalue=提交

/form

接收文件：