技术频道

公众号推荐

微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦！

php – SQL注入攻击

时间：2021-11-11分类：PHP作者：编程之家

如何保护我的网站免受sql注入攻击？我使用PHP和MysqL.我必须改变我的mySQL查询吗？

例如,我有一个这样的查询：

<?PHP
$q=$_GET["q"];// im getting the Q value from the other form,from drop down Box[displaying data using Ajax
$a1=$_POST['hosteladmissionno'];
$a2=$_POST['student_name'];
$a3=$_POST['semester'];
$con = MysqL_connect('localhost', 'root', '');
if (!$con)
  {
  die('Could not connect: ' . MysqL_error());
  }

MysqL_select_db("hostel", $con);

$a1="SELECT  hosteladmissionno,student_name,semester FROM registration 
WHERE mess_type ".$q."' AND  status_flag=1";

$result = MysqL_query($a1);

if ($result === false) {

    die(MysqL_error());
}
echo "<table border='1' width=80%>
<tr>
 <th width=5%> S.No</th>
<th width=10%>H.Admin No</th>
<th width=10%>Student Name</th>
<th width=5%>No of Days</th>
</tr>";
 $i=0;
while($row = MysqL_fetch_array($result))
  {
  $i=$i+1;
  echo "<tr>";
  echo "<td  align=center>" .$i."</td>";
  echo "<td size=10 align=center>" . $row['hosteladmissionno'] . "</td>";
  echo "<td size=35  align=center>" . $row['student_name'] . "</td>";
  echo "<td  align=center>  <input type='text' name='days' size=2> </td> ";
  echo "</tr>";
  }
echo "</table>";

MysqL_close($con);
?>

我是否必须在查询中包含任何更改以避免注入攻击？任何建议都会有所帮助.谢谢.干杯!

您的查询出现(编辑：在查询的第一个版本中出现)完全是静态的 – 即它不使用任何用户提供的数据.在这种情况下,没有sql注入的风险.

sql注入攻击涉及获取用户输入并将其直接包含在SQL查询中,而不是使用参数化sql语句并包含用户提供的值的首选方法. (我不知道在PHP中如何完成的细节…我当然希望它是可能的.)

编辑：好的,现在你已经改变了你的代码,包括：

$a1="SELECT  hosteladmissionno,student_name,semester FROM registration 
WHERE mess_type ".$q."' AND  status_flag=1";

从文本框中检索$q的位置.现在我假设你真的意味着第二行：

WHERE mess_type='".$q."' AND  status_flag=1";

但这仍然容易受到sql注入攻击.假设q的值是：

' OR 'x'='x

然后,您的sql语句将最终为

SELECT hosteladmissionno,student_name,semester FROM registration 
WHERE mess_type='' OR 'x'='x' AND  status_flag=1

这显然不是你追求的逻辑.

您应该使用值的参数,如此PHP prepared statement page所示.

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。

上一篇：php mysql登录的最佳哈希技术？下一篇：php – 数组问题

相关推荐

vue+thinkphp5实现微信扫码支付(NATIVE支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中NATIVE的支付实现流程与PC端实现扫码支付流程

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信扫码支付(APP支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中APP的支付的配置与实现流程

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信登录

前言之前做了微信登录，所以总结一下微信授权登录并获取用户信息这个功能的开发流程。配置 1.首先得在微信公众平台申请一下微信小程序账号并获取到小程序的AppID和AppSecret https://mp.weixin.qq.com/cgi-bin/loginpage?url=%2Fwxamp%2F

作者：我恨bug 时间：2024-07-30

【PHP】关于fastadmin框架中使用with进行连表查询时setEagerlyType字段的理解

FastAdmin是我第一个接触的后台管理系统框架。FastAdmin是一款开源且免费商用的后台开发框架，它基于ThinkPHP和Bootstrap两大主流技术构建的极速后台开发框架，它有着非常完善且强大的功能和便捷的开发体验，使我逐渐喜欢上了它。

作者：我恨bug 时间：2024-07-30

【workerman】uniapp+thinkPHP5使用GatewayWorker实现实时通讯

之前公司需要一个内部的通讯软件，就叫我做一个。通讯软件嘛，就离不开通讯了，然后我就想到了长连接。这里本人用的是GatewayWorker框架。

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信支付(JSAPI支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中JSAPI的支付实现流程

作者：我恨bug 时间：2024-07-30

服务器优化必备：深入了解PHP8底层开发原理

服务器优化必备：深入了解PHP8底层开发原理

作者：编程之家时间：2023-09-11

Golang的网络编程：如何快速构建高性能的网络应用？

Golang的网络编程：如何快速构建高性能的网络应用？

作者：编程之家时间：2023-09-11

Golang和其他编程语言的对比：为什么它的开发效率更高？

Golang和其他编程语言的对比：为什么它的开发效率更高？

作者：编程之家时间：2023-09-11

PHP8底层开发原理揭秘：如何利用新特性创建出色的Web应用

PHP8底层开发原理揭秘：如何利用新特性创建出色的Web应用

作者：编程之家时间：2023-09-11

小编推荐

苹果市值2025年有望达4万亿美元