PHP如何防止注入，PHP如何防止SQL注入攻击？

添加斜杠时，将浏览器提交的 POST 和 GET 变量添加到 SQL 查询中，尽量避免直接使用。

注入攻击的类型。

攻击动机可能有很多种，但乍一看，似乎还有更多类型的仿橡树。 这是非常正确的 - 如果恶意用户发现了执行多个查询的方法。 我们将在本文后面更详细地讨论这一点。

如。 如果您的脚本正在执行 select 命令，则攻击者可以通过在 where 子句中添加条件注释（如 =1）来强制显示记录的每一行，如下所示（其中注入的部分以粗体显示）：

select*fromsiteswheresite=''or1=1;'

正如我们之前所讨论的，这本身就是有用的信息，因为它揭示了**的一般结构（这在正常记录中是不可能的），并可能揭示包含机密信息的记录。

更新指令有可能成为更直接的威胁。 通过在 set 子句中放置其他属性，攻击者可以修改当前更新的记录中的任何字段，例如以下示例（其中注入部分以粗体显示）：

updatesitessetsite=''where=

site=''

通过向更新指令的 where 子句添加常数真值条件（如 1=1），可以将此修改的范围扩展到每条记录，如以下示例所示：

updatesitessetsite=''where=

site=';'

最危险的指令可能是删除 - 这并不难想象。 注入技术与我们已经看到的相同 - 通过修改 where 子句来扩展受影响记录的范围，如下例所示

deletefromsitessetsite=''where=

site=';

执行此操作的有效方法是使用参数化查询。 在参数化查询中，预定义查询语句，然后将变量放在占位符中。 执行查询时，可以安全地将值绑定到占位符，而不会冒任何 SQL 注入攻击的风险。

例如：query = select * from users where username = username and password = password";

stmt = db->prepare($query);

stmt->bindvalue(':username', username);

stmt->bindvalue(':password', password);

stmt->execute();

这里 ：username 和 :password 是占位符，在执行查询时将替换为实际变量值。

使用参数化查询是针对 SQL 注入攻击的有效保护措施，因为它不包括用户输入作为 SQL 语句的一部分。

此外，可以使用逃逸功能护罩处理用户输入，以防止 SQL 注入室攻击。 在 PHP 中，您可以使用 Mysqli Real Escape String 函数来转义用户 Yu Sun 输入。 例如：

username = mysqli_real_escape_string($db, $username);

这允许对用户输入中的特殊字符进行转义，以防止 SQL 注入攻击。

防止 SQL 注入攻击的方法包括：

使用预处理语句和绑定参数：使用PDO或MySQLI等库提供的预处理语句和绑定参数，可以将参数与SQL查询语句分开，避免相思SQL注入攻击。

过滤输入数据：在接收用户输入数据时对数据进行过滤和验证，例如使用 PHP 内置函数，如 filter var（）、htmlspecialchars（） 等。

使用安全编码：在数据库中插入或更新数据时使用安全编码，例如将特殊字符转义到 HTML 实体中或使用 addslashes（） 来表达悔改。

限制数据库用户权限：为了最大程度地减少损失，应将数据库用户权限限制为只读或只写，而不是具有管理员权限。

防止SQL注入的一种简单方法是使用框架，这些框架通常与各种安全措施集成在一起。

当然，你也可以自己处理，如果用户的输入可以直接插入到SQL语句中，那么应用就容易受到SQL注入攻击。 我认为最重要的是检查和转义数据类型。

display errors 选项，该选项应设置为 display errors = off。 这样，如果PHP脚本失败，它就不会在网页上输出错误，使攻击者无法分析信息。

开启魔术引号 gpc 防止 SQL 注入，魔术引号 gpc = off，这个默认是关闭的，如果开启了，会自动将用户提交的查询转换为 SQL，比如 put'转到'等，在防止SQL注入方面发挥了重要作用。 如果 magic 引号 gpc=off，则使用 addslashes（） 函数。

MySQL 函数

调用MySQL查询等MySQL函数时，应在它前面加上@，即@mysql查询（..）。这样就不会输出mysql错误。 这同样是正确的，因此攻击者不会分析有用的信息。

此外，一些程序员在进行开发时习惯于在MySQL Query出错时输出错误和SQL语句。

MySQL Real Escape String -- 对 SQL 语句中使用的字符串中的特殊字符进行转义，同时考虑串联的当前字符集。

SQL 语句

转义并键入 check 提交的 SQL 语句。 如果请求是数字的，则调用是 numeric（） 以确定请求是否为数字。 否则，将返回程序指定的默认值。

为了简单起见，对于文本字符串，我转义了用户输入的所有危险字符（包括 html**）。 由于 php 函数 addslashes（） 中的一个错误，我直接用 str replace（） 替换了它。 Get Magic Quotes gpc（） 函数是一个 PHP 函数，用于确定 Magic Quotes GPC 选项是否已打开。

杂项

使用预处理语句和参数化查询（PDO 或 MySQLI）。 预处理的语句和参数将发送到数据库服务器进行解析，参数被视为普通字符。 此方法可防止攻击者注入恶意 SQL 语句。

筛选不符合要求的字符。

最好在前台用户打字时，使用常规或 php 方法过滤掉或替换注入的信息。