sql注入产生的原因以及如何防止?

1.sql注入产生的原因:
程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行;

2.防止过滤:
1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤;
2).在PHP配置文件中register_global=off;(设置为关闭状态)作用是将注册全局变量关闭掉;
3).sql语句书写的时候尽量不要忽略小引号和单引号;
4).提高数据库命名技巧,对于一些重要字段根据程序特点命名,取不易猜到的;
5).对于常用的方法加以封装,避免直接暴露sql语句;
6).开启安全模式,safe_mode=on;
7).打开magic_quotes_gpc=off,默认是关闭的,它打开后自动把用户提交的sql语句进行转换(加上\转义),这对防止sql注入有很大作用;因此开启magic_quotes_gpc=on
8).控制错误信息:关闭错误提示信息,将错误信息写入系统日志文件;
9).使用mysqli和pdo进行处理;

你可能感兴趣的:(数据库)