网站建设之mysql防止sql注入(成都网站建设)

在网站建设的过程中，随着时间的积累，数据库的数据量越来越大，可以说，一个网站最重要的部分就是数据，一旦数据泄漏，会对公司造成难以想像的影响，所以数据的安全行至关重要。任何一个网站都有一个后台，方便对整个网站进行管理。后台往往有一个登录系统，这个登录系统，就很有可能通过一些方法直接验证通过从而进入你的后台，导致我们网站数据泄漏。今天就给大家介绍一些方法，防止这种情况发生。具体操作如下：
首先我们来看产生结果的原因。
当一个变量从表单传入到php，需要查询mysql的话，需要进行处理。
举例：
$unsafe_variable = $_POST@['user_input'];
mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
用户可以输入诸如 ： value'); DROP TABLE table; ,SQL语句就变成这样了:
INSERT INTO table (column) VALUES('value'); DROP TABLE table;')
执行的结果就是table表被删掉了。
这是一种常见的sql注入方法，那么在程序中，应该怎样预防呢?
方法一：mysql_real_escape_string()
由于addslashes()不检测字符集，所以有宽字节注入风险，所以php中添加了这个函数。
这个函数本来是mysql的扩展，但是由于存在宽字节的问题，php基于mysql的扩展开发了此函数。
mysql_real_escape_chars()是mysql_escape_chars()的替代用法。
与addslashes()相比，不仅会将' " \ NOL(ascii的0)转义，还会把\r \n进行转义。同时会检测数据编码。
按php官方的描述，此函数可以安全的用于mysql。

方法二：预处理查询 (Prepared Statements)
a. 先预发送一个sql模板过去
b. 再向mysql发送需要查询的参数
就好像填空题一样，不管参数怎么注入，mysql都能知道这是变量，不会做语义解析，起到防注入的效果，这是在mysql中完成的。
A.使用mysqli:prepare()实现
$mysqli = new mysqli("example.com", "user", "password", "database");
$stmt = $mysqli>prepare("SELECT id, label FROM test WHERE id = ?");
$stmt>bind_param(1, $city);
$stmt>execute();
$res = $stmt>get_result();
$row = $res>fetch_assoc();

B. 使用pdo实现

pdo是一个php官方推荐的数据库抽象层，提供了很多实用的工具。
使用pdo的预处理参数化查询可以有效防止sql注入。
使用方法跟上面差不多，区别在于pdo提供了更多样的方法。使用这个pdo>$stmt对象进行查询后，会被结果集覆盖，类型是一个二维数组。

方法三：html输出与防止xss注入
特殊字符输出
比如' " < >有着特殊的意义，如果直接写到html中输出，会引起dom格式的错乱，那么就需要用到特殊的输出方法。

最后，希望可以帮到大家。

     

以上就是关于网站建设之mysql防止sql注入(成都网站建设)，希望对你有帮助，更多内容关注创新互联。

分享标题：网站建设之mysql防止sql注入(成都网站建设)
网站网址：https://www.cdcxhl.com/news27/327177.html

成都网站建设公司_创新互联，为您提供Google、全网营销推广、自适应网站、服务器托管、网站排名、网站策划

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联