php中防sql注入的一些简单php.ini配置与php函数

1.magic_quotes_gpc(魔术引号开关)

magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。

在magic_quotes_gpc = On的情况下,如果输入的数据有

单引号(’)、双引号(”)、反斜线(\)与 NULL(NULL 字符)等字符都会被加上反斜线。这些转义是必须的,如果这个选项为Off,那么我们就必须调用addslashes这个函数来为字符串增加转义。

这个特性在PHP5.3.0中已经废弃并且在5.4.0中已经移除了。一切的编程都需要在 magic_quotes_gpc=Off下进行了。在这样的环境下如果不对用户的数据进行转义,后果不仅仅是程序错误而已了。同样的会引起数据库被注入攻击的危险。所以从现在开始大家都不要再依赖这个设置为On了。

php较低版本(php version <= 5.4.0)会对所有的GET、POST和COOKIE 数据自动运行addslashes()。因为较低版本的php,magic_quotes_gpc默认开启,所以,此时您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时,可以使用函数get_magic_quotes_gpc()进行检测。

  参考链接 :https://www.cnblogs.com/joshua317/articles/3939718.html

                    https://www.cnblogs.com/windclouds/p/5412888.html

                     https://segmentfault.com/a/1190000008227307

2.htmlentities()与htmlspecialchars()

htmlentities() 转换所有具有 HTML 实体的字符。

语法:  htmlentities(string,flags,character-set,double_encode)

参数 描述
string 必需。规定要转换的字符串。
flags

可选。规定如何处理引号、无效的编码以及使用哪种文档类型。

可用的引号类型:

  • ENT_COMPAT - 默认。仅编码双引号。
  • ENT_QUOTES - 编码双引号和单引号。
  • ENT_NOQUOTES - 不编码任何引号。
character-set

可选。一个规定了要使用的字符集的字符串。

允许的值:

  • UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode
double_encode

可选。布尔值,规定是否编码已存在的 HTML 实体。

  • TRUE - 默认。将对每个实体进行转换。
  • FALSE - 不会对已存在的 HTML 实体进行编码

htmlentities()更多参数 参考 http://www.w3school.com.cn/php/func_string_htmlentities.asp

 htmlentities() 可以对用户输入具有HTML 实体的字符的数据进行转义,比如单引号字符,可以防御说sql注入,再比如'<'符号可以防御用户插入存储型的xss。

htmlspecialchars()函数仅对以下字符转义,其他的与htmlentities()差不多,包括各个参数的默认值

字符 替换后
& (& 符号) &
" (双引号) ",除非设置了 ENT_NOQUOTES
' (单引号) 设置了 ENT_QUOTES 后, ' (如果是 ENT_HTML401) ,或者 ' (如果是 ENT_XML1ENT_XHTMLENT_HTML5)。
< (小于) <
> (大于) >

 关于htmlspecialchars()更多参数参考:http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

3.addslashes()函数stripslashes()函数

3.1)string addslashes ( string $str )

返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。

3.2)stripslashes — 反引用一个引用字符串

说明

string stripslashes ( string $str )

反引用一个引用字符串。

Note:

如果 magic_quotes_sybase 项开启,反斜线将被去除,但是两个反斜线将会被替换成一个。

 

一个使用范例是使用 PHP 检测 magic_quotes_gpc 配置项的 开启情况(在 PHP 5.4之 前默认是开启的)并且你不需要将数据插入到一个需要转义的位置(例如数据库)。例如,你只是简单地将表单数据直接输出。

参数

str

输入字符串。

返回值

返回一个去除转义反斜线后的字符串(\' 转换为 ' 等等)。双反斜线(\\)被转换为单个反斜线(\)。

4.mysql_real_escape_string() 函数

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • \x00
  • \n
  • \r
  • \
  • '
  • "
  • \x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)
参数 描述
string 必需。规定要转义的字符串。
connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

说明

本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于 mysql_query()。

提示和注释

提示:可使用本函数来预防数据库攻击。

附以下代码:

";
$sql = "select * from user where username = '$a'";
echo $sql;
$sql=mysql_query($sql);
var_dump($sql);
var_dump(mysql_num_rows($sql));
if(mysql_num_rows($sql)>0)
	echo "OK";
?>

运行结果为:

-----------------------------------------------------------------------------未完待续------------------------------------------------------------------------------

你可能感兴趣的:(web安全学习,php学习)