日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
PHPMysql注入的實(shí)現(xiàn)和防范示例

以下的文章主要介紹的是PHP Mysql 注入的實(shí)現(xiàn)和防范,以我個(gè)人看來,引發(fā)SQL注入攻擊的最主要原因,是以下2個(gè)原因:即。1). php 配置文件 php.ini 中的 magic_quotes_gpc 選項(xiàng)沒有打開,被置為 off。

2). 開發(fā)者沒有對(duì)數(shù)據(jù)類型進(jìn)行檢查和轉(zhuǎn)義

不過事實(shí)上,第二點(diǎn)最為重要。我認(rèn)為, 對(duì)用戶輸入的數(shù)據(jù)類型進(jìn)行檢查,向 MYSQL 提交正確的數(shù)據(jù)類型,這應(yīng)該是一個(gè) web 程序員最最基本的素質(zhì)。但現(xiàn)實(shí)中,常常有許多小白式的 Web 開發(fā)者忘了這點(diǎn), 從而導(dǎo)致后門大開。

為什么說PHP Mysql 注入的實(shí)現(xiàn)與防范第二點(diǎn)最為重要?因?yàn)槿绻麤]有第二點(diǎn)的保證,magic_quotes_gpc 選項(xiàng),不論為 on,還是為 off,都有可能引發(fā) SQL 注入攻擊。下面來看一下技術(shù)實(shí)現(xiàn):

 magic_quotes_gpc = Off 時(shí)的注入攻擊

magic_quotes_gpc = Off 是 php 中一種非常不安全的選項(xiàng)。新版本的 php 已經(jīng)將默認(rèn)的值改為了 On。但仍有相當(dāng)多的服務(wù)器的選項(xiàng)為 off。畢竟,再古董的服務(wù)器也是有人用的。

當(dāng)magic_quotes_gpc = On 時(shí),它會(huì)將提交的變量中所有的 ‘(單引號(hào))、”(雙號(hào)號(hào))、\(反斜線)、空白字符,都為在前面自動(dòng)加上 \。下面是 php 的官方說明:

 
 
 
    
  
  
  
  1. magic_quotes_gpc boolean  
    2. 
  
  
  
  2. Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. 
    When magic_quotes are on, all ‘ (single-quote), ” (double quote), 
    \ (backslash) and NUL’s are escaped with a backslash automatically  
    3.

如果沒有轉(zhuǎn)義,即 off 情況下,就會(huì)讓攻擊者有機(jī)可乘。以下列測試腳本為例:

f ( isset($_POST["f_login"] ) )

{

連接數(shù)據(jù)庫...

...代碼略...

檢查用戶是否存在

 
 
 
    
  
  
  
  1. $t_strUname = $_POST["f_uname"];  
    2. 
  
  
  
  2. $t_strPwd = $_POST["f_pwd"];  
    3. 
  
  
  
  3. $t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";  
    4. 
  
  
  
  4. if ( $t_hRes = mysql_query($t_strSQL) )  
    5. 
  
  
  
  5. {  
    6. 
  
  
  
  6. // 成功查詢之后的處理. 略...  
    7. 
  
  
  
  7. }  
    8. 
  
  
  
  8. }  
    9. 
  
  
  
  9. ?> 
    10. 
  
  
  
  10. sample test 
    11. 
  
  
  
  11.  
    12. 
  
  
  
  12.  
    13. 
  
  
  
  13. Username: 
     
    14. 
  
  
  
  14. Password: 
     
    15. 
  
  
  
  15.  
    16. 
  
  
  
  16.  
    17. 
  
  
  
  17.  
    18.

上述的相關(guān)內(nèi)容就是對(duì)PHP Mysql 注入 的實(shí)現(xiàn)與防范的部分內(nèi)容的描述,希望會(huì)給你帶來一些幫助在此方面。

【編輯推薦】

  1. MySQL數(shù)據(jù)表中字段的批量修改與復(fù)制
  2. MySQL修改表字段的實(shí)際應(yīng)用代碼演示
  3. MySQL查詢優(yōu)化的5個(gè)好用方法
  4. MySQL alter 語句的實(shí)際操作
  5. 導(dǎo)致MySQL Alter Table函數(shù)信息泄露的原因

分享標(biāo)題:PHPMysql注入的實(shí)現(xiàn)和防范示例
轉(zhuǎn)載注明:http://www.5511xx.com/article/cddoeip.html