php如何防止sql注入

PHP防止sql注入是一個(gè)比較低級(jí)的問題了，這個(gè)問題其實(shí)在我大一上學(xué)期做第一個(gè)個(gè)人博客的時(shí)候就已經(jīng)關(guān)注過了，不過簡單的說一下關(guān)于PHP防注入的方式吧。

目前成都創(chuàng)新互聯(lián)公司已為近千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁空間、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、沙市網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

使用PDO防注入。

這是最簡單直接的一種方式，當(dāng)然低版本的PHP一般不支持PDO方式去操作，那么就只能采用其它方式。

采用escape函數(shù)過濾非法字符。

escape可以將非法字符比如 斜杠等非法字符轉(zhuǎn)義，防止sql注入，這種方式簡單粗暴，但是不太建議這么用。

自己手寫過濾函數(shù)，手寫一個(gè)php sql非法參數(shù)過濾函數(shù)來說還是比較簡單的，但是你的函數(shù)需要非常的健壯，不讓仍然有可能被非法黑客攻擊；你的Coding水平直接決定了你的函數(shù)的健壯性。

各種框架里面其實(shí)都有對(duì)于非法字符過濾的支持，最簡單的比如ThinkPHP，你可以直接防止注入。

寫一個(gè)PHP擴(kuò)展對(duì)于進(jìn)入?yún)?shù)進(jìn)行有選擇的過濾。 開發(fā)一個(gè)PHP擴(kuò)展是對(duì)于一個(gè)PHP高級(jí)程序員必備的技能，將你需要的功能打包在PHP擴(kuò)展里面，就像黑詞過濾一樣進(jìn)行檢查，是非常方便的。一般都是用在自己寫框架路由器轉(zhuǎn)發(fā)的時(shí)候，如果你用擴(kuò)展實(shí)現(xiàn)框架的路由器轉(zhuǎn)發(fā)的話，可以順便將參數(shù)過濾加入到PHP擴(kuò)展里面，通過C去實(shí)現(xiàn)。

對(duì)于現(xiàn)在的防注入技術(shù)其實(shí)已經(jīng)成熟了，對(duì)于一個(gè)站點(diǎn)該關(guān)心的不是防注入了，而是大規(guī)模高并發(fā)如何處理的問題，或者關(guān)于各種其他漏洞，比如現(xiàn)在世界上仍然有百分之80使用redis的站點(diǎn)存在redis漏洞，通過redis漏洞可以直接拿到機(jī)器的訪問權(quán)限，一般來說都是直接給你種一個(gè)挖礦機(jī)器人來。

如何實(shí)現(xiàn)php的安全最大化？怎樣避免sql注入漏洞和xss跨站腳本攻擊漏洞

使用php安全模式

服務(wù)器要做好管理，賬號(hào)權(quán)限是否合理。

假定所有用戶的輸入都是“惡意”的，防止XSS攻擊，譬如：對(duì)用戶的輸入輸出做好必要的過濾

防止CSRF，表單設(shè)置隱藏域，post一個(gè)隨機(jī)字符串到后臺(tái)，可以有效防止跨站請(qǐng)求偽造。

文件上傳，檢查是否做好效驗(yàn)，要注意上傳文件存儲(chǔ)目錄權(quán)限。

防御SQL注入。?

避免SQL注入漏洞

1.使用預(yù)編譯語句

2.使用安全的存儲(chǔ)過程

3.檢查輸入數(shù)據(jù)的數(shù)據(jù)類型

4.從數(shù)據(jù)庫自身的角度考慮，應(yīng)該使用最小權(quán)限原則，不可使用root或dbowner的身份連接數(shù)據(jù)庫。若多個(gè)應(yīng)用使用同一個(gè)數(shù)據(jù)庫，也應(yīng)該為數(shù)據(jù)庫分配不同的賬戶。web應(yīng)用使用的數(shù)據(jù)庫賬戶，不應(yīng)該有創(chuàng)建自定義函數(shù)，操作本地文件的權(quán)限。

避免XSS跨站腳本攻擊

1.假定所有用戶輸入都是“邪惡”的

2.考慮周全的正則表達(dá)式

3.為cookie設(shè)置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注釋

6. 針對(duì)非法的HTML代碼包括單雙引號(hào)等，使用htmlspecialchars()函數(shù)。

php防止sql注入以及xss跨站腳本攻擊

1.post數(shù)據(jù)

封裝轉(zhuǎn)義函數(shù) 防sql注入 ?eag：addslashes($username);addslashes($password);?

eag:防止sql注入函數(shù)封裝?

function deepslashes($data){

#判斷$data的表現(xiàn)形式 并且需要處理空的情況

if(empty($data)){

return($data);

}

#高級(jí)簡寫 return is_array($data) ? array_map('deepslashes',$data) : addslashes($data);

#初級(jí)寫法

if(is_array($data)){

#遞歸循環(huán)遍歷處理多維數(shù)組

foreach ($data as $v) {

return deepslashes($v);

}

}else{

#單一變量

return addslashes($data);

}

#初級(jí)寫法

}

2.get數(shù)據(jù)

指url 傳參數(shù)導(dǎo)致sql發(fā)生改變

解決方案

①強(qiáng)制轉(zhuǎn)換，使用函數(shù)intval 或者 數(shù)據(jù)類型 的關(guān)鍵字int

②隱式轉(zhuǎn)換，通過運(yùn)算，只需要+0即可

3.xss跨站腳本攻擊

指惡意攻擊向web頁面插入html、js標(biāo)簽導(dǎo)致頁面出現(xiàn)錯(cuò)誤

解決方案

轉(zhuǎn)義標(biāo)簽'' ''即可，有以下php函數(shù)可解決

htmlspecialchars 函數(shù) 和 htmlentites函數(shù)

eag:

function deepslashes($data){

#判斷$data的表現(xiàn)形式 并且需要處理空的情況

if(empty($data)){

return($data);

}

return is_array($data) ? array_map('deepslashes',$data) :?htmlspecialchars?($data);

}