安全、防注入 杂记

背景、概述
  早在Sql注入横行的前几年,字符串转化为整数就已经被列为每个web程序必备的操作了。web程序将get或post来的id、整数等值强制经过转化函数转化为整数,过滤掉危险字符,尽可能降低系统本身被Sql注入的可能性。
  现如今,虽然Sql注入已经逐渐淡出历史舞台,但是,为了保证web程序的正常运行,减少出错概率,更好的保证用的满意度,我们同样需要将用户的不正确输入转化为我们所需要的。

一:接收的参数为整型时,要做强制转化为整型处理

①强制类型转换方式   

强制类型转换方式,就是“在要转换的变量之前加上用括号括起来的目标类型”

<?php
$foo = "1"; // $foo 是字符串类型
$bar = (int)$foo; // $bar 是整型
?>

  ②内置函数方式   

    内置函数方式,就是使用PHP的内置函数intval进行变量的转换操作。

<?php
$foo = "1"; // $foo 是字符串类型
$bar = intval($foo); // $bar 是整型
?>

二:接收的参数为字符串时,要做

时间: 2024-10-29 06:53:37

安全、防注入 杂记的相关文章

简单实用的PHP防注入类实例

这篇文章主要介绍了简单实用的PHP防注入类实例,以两个简单的防注入类为例介绍了PHP防注入的原理与技巧,对网站安全建设来说非常具有实用价值,需要的朋友可以参考下 本文实例讲述了简单实用的PHP防注入类.分享给大家供大家参考.具体如下: PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全. PHP防注入类代码如下: 复制代码 代码如下: <?php /**  * 参数处理类  *

php之防注入程序绕过浅谈

<?php/*判断传递的变量是否含有非法字符如:$_POST/$_GET功能:SQL防注入系统*/ //屏蔽错误提示error_reporting(7); //需要过滤的字符 $ArrFiltrate = array("'", "or", "and", "union", "where"); //1.如果规则不完全,也会引起安全问题 //出错跳转的URL$StrGoUrl = "";

绕过防注入系统的方法

路过这个网站,检测了一下.http://www.xxx.cn/Article.asp?ID=117 and 1=1直接返回主页http://www.xxx.cn/Article.asp?ID=117 or 1=1直接返回主页http://www.xxx.cn/Article.asp?ID=117 or没有返回主页 没有过滤orhttp://www.xxx.cn/Article.asp?ID=117 and直接返回主页 看来过滤了andhttp://www.xxx.cn/Article.asp?I

PDO防注入原理分析以及使用PDO的注意事项

我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么? 一.为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored proceduresMany of the more mature databases support the concept of prepared statement

asp.net使用ODP的防注入登录验证程序

网上有很多SQL连接方式的登录验证,但没有oracle连接方式的,我摸索了一上午写了这个可执行的函数,分享给大家 // 用户登录检查 public bool LoginCheck(string f_LoginName, string f_LoginPass) { bool result = false; // 正则表达式检查 if (Regex.IsMatch(f_LoginName,@"^[a-zA-Z0-9]{1,15}$") && Regex.IsMatch(f_

asp防注入安全问题

一.古老的绕验证漏洞虽然古老,依然存在于很多小程序之中,比如一些企业网站的后台,简单谈谈.这个漏洞出现在没有对接受的变量进行过滤,带入数据库判断查询时,造成SQL语句的逻辑问题.例如以下代码存在问题:username=request("username")password=request("password")sql = "select * from user where username='" & username & &quo

php sql防注入

没有太多的过滤,主要是针对php和mysql的组合.一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($con

防注入攻击

using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks;using System.Data.SqlClient; namespace 作业操作数据库{ class Program { static void Main(string[] args) { //作业: //1.让用户输入一个代号,查到一条数据(car,info),并显示

360 webscan中防注入跨站攻击的核心

//get拦截规则 $getfilter = "\\<.+javascript:window\\[.{1}\\\\x|<.*=(&#\\d+?;?)+?>|<.*(data|src)=data:text\\/html.*>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\\(\d+?|sleep\s*?\\([\d\.]+?\\)|load_file\s*?\\()|<[a-z