PHP如何防止注入及開發安全

1、PHP注入的基本原理

  程序員的水平及經驗也良莠不齊，至關大一部分程序員在編寫代碼的時候，沒有對

用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶能夠提交一段數據

庫查詢代碼，根據程序返回的結果，得到某些他想得知的數據，這就是所謂的

SQL Injection，即SQL 注入。 受影響的系統：對輸入的參數不進行檢查和過濾的系統

 

SQL注入過程

正常來說，咱們經過地址接收一些必要的參數如：

PHP100.php?id=2  頁面中咱們會使用   2 寫入到SQL 語句中

正常狀況： Select * From Table where id=2

若是咱們對 SQL語句熟悉，就知道2 咱們能夠替換成咱們須要的 SQL語句

如： and exists (select id from admin)

 

2、防止注入的幾種辦法

其實原來就是咱們須要過濾一些咱們常見的關鍵字和符合如：

Select，insert ，update， delete，and ，*，等等

 

例子

function inject_check($sql_str) {

   return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);     // 進行過濾

}

 

或者是經過系統函數間的過濾特殊符號

Addslashes（須要被過濾的內容）

 

 

3、PHP其餘地方安全設置

一、register_globals = Off   設置爲關閉狀態

二、SQL語句書寫時儘可能不要省略小引號和單引號

Select * From Table Where id=2       ( 不規範)

Select * From ·Table· Where ·id·=’2’       ( 規範)

 

三、正確的使用 $_POST $_GET $_SESSION 等接受參數，並加以過濾

四、提升數據庫命名技巧，對於一些重要的字段可根據程序特色命名

五、對於經常使用方法加以封裝，避免直接暴露 SQL語句