如何防止sql恶意注入_PHP基础

当前位置：网站建设 > 技术支持

资料来源：网络整理时间：2023/3/5 15:10:37 共计：3639 浏览

如何防止sql恶意注入？

这是个好问题。

定义与解决思路

sql injection的原因：用户提交的参数可以入库，并且当做sql结构化查询语句执行。

根本办法: 杜绝用户提交的参数入库，并且阻止执行。

SQL注入，一般发生在网站上。

如果网站程序是 JAVA语言

可以用 prepareStatement, 作参数化绑定；

也可以用存储过程，SQL封装在存储过程中；

用ORM技术，如 ibats, hibrnate 等；

如果网站程序是 .NET语言可以用 SqlParameter, 作参数化绑定；

也可以用存储过程，SQL封装在存储过程中；

也可以用ORM技术，如 EntityFrameWork, Dapper 等；

如果网站程序是其它程序，如 PHP语言

不拼SQL，可能找不到其它的路；

但是可以提炼一个公共函数，自动过滤SQL关键词（select, or, and，insert 等）；

尤其要屏蔽那些攻击性的关键词如 update, delete, truncate, drop 等

拼接到字符串的传参前后加个括号与反括号，可相对有效隔离危险。

希望能对大家有所帮助，谢谢。

（结束）

版权说明：
本网站凡注明“广州京杭原创”的皆为本站原创文章，如需转载请注明出处！
本网转载皆注明出处，遵循行业规范，如发现作品内容版权或其它问题的，请与我们联系处理！
欢迎扫描右侧微信二维码与我们联系。