這篇文章給大家介紹php注入記錄需要注意什么，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

創(chuàng)新互聯(lián)專注于云岡企業(yè)網(wǎng)站建設(shè),自適應網(wǎng)站建設(shè),成都商城網(wǎng)站開發(fā)。云岡網(wǎng)站建設(shè)公司,為云岡等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站開發(fā)，專業(yè)設(shè)計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

常見獲取變量

$_GET$_POST $_COOKIE $_SERVER

is_numeric()，ctype_digit() 正則表達式//判斷是否為數(shù)字，后面的函數(shù)為轉(zhuǎn)換成為數(shù)字型

MySQL_real_escape_string()//先連接數(shù)據(jù)庫否則不轉(zhuǎn)換 字符型的注入這樣轉(zhuǎn)換即可

addslashes()//數(shù)字型的注入

第er課：

union 前后要一致

php.ini中 magic_quotes_gpc=on 開啟即可轉(zhuǎn)譯字符 防止注入

echo $_SERVER['QUREY_STRING'];返回？號自后的字符

echo$_GET['id']."
";

echo$_SERVER['QUERY_STRING']."
";

解決方法：

get_magic_quotes_gpc的舉例：

if(!get_magic_quotes_gpc()) {//判斷打開了沒，沒有就轉(zhuǎn)換

$lastname= addslashes($_POST[‘lastname’]);

}else {

$lastname= $_POST[‘lastname’];

}

注意：http://localhost/dvwa/test.php?id=%bf%27

echo$_GET['id']."
";

此處不進行轉(zhuǎn)換結(jié)果為：'

中：

$id = $_GET['id'];

$id = mysql_real_escape_string($id);

高：字符型sql注入

$id = $_GET['id'];

$id = stripslashes($id);

$id = mysql_real_escape_string($id);

//這里可以進行數(shù)字型的注入過濾

if (is_numeric($id)){

3=====================================================

測試sql注入

1'and(select 1 from(select count(*),concat((select (selectconcat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e)) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x frominformation_schema.tables group by x)a) and '1'='1

數(shù)據(jù)庫報錯信息泄露防范

1.把php.ini文件display_errors =Off

2.數(shù)據(jù)庫查詢函數(shù)前面加一個@字符

?id=1'%20and(select%201%20from(select%20count(*),concat((select%20(select%20concat(0x7e,0x27,unhex(Hex(cast(database()%20as%20char))),0x27,0x7e))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20and%20'1'='1&Submit=Submit#

盲注：id=%27+union+select+user%2Cpassword+from+users%23&Submit=Submit

數(shù)字型的注入漏洞防護

1.is_numeric()，ctype_digit()，=intval() 正則表達式

2.str_length()限制輸入的字符長度

字符型的注入漏洞防護

1.mysql_real_escape_string()過濾

2.str_length()限制輸入的字符長度

如何挖掘sql注入漏洞

常見獲取變量

$_GET$_POST $_COOKIE $_SERVER

數(shù)據(jù)庫操作函數(shù)

mysql_query()參數(shù)：

關(guān)于php注入記錄需要注意什么就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。