文章导航PC6首页软件下载单机游戏安卓资源苹果资源

pc软件新闻网络操作系统办公工具编程服务器软件评测

安卓新闻资讯应用教程刷机教程安卓游戏攻略tv资讯深度阅读综合安卓评测

苹果ios资讯苹果手机越狱备份教程美化教程ios软件教程mac教程

单机游戏角色扮演即时战略动作射击棋牌游戏体育竞技模拟经营其它游戏游戏工具

网游cf活动dnf活动lol周免英雄lol礼包

手游最新动态手游评测手游活动新游预告手游问答

您的位置:首页精文荟萃软件资讯 → 利用PHP程序设定防止MySQL注入或HTML表单滥用

利用PHP程序设定防止MySQL注入或HTML表单滥用

时间:2009/1/1 18:42:00来源:本站整理作者:我要评论(0)

利用PHP程序设定防止MySQL注入或HTML表单滥用

MySQL注入的意图是接管网站数据库并窃取信息。常见的开源数据库,如MySQL,已经被许多网站开发人员用来储存重要信息,如密码,个人信息和管理信息。

MySQL之所以流行,是因为它与最流行的服务器端脚本语言PHP一起使用。而且,PHP是主导互联网的Linux- Apache服务器的主要语言。因此,这意味着黑客可以很容易地利用PHP就像Windows的间谍软件一样。

黑客向一个无担保的网页表单输入大量恶意代码(通过下拉菜单,搜索框,联系表单,查询表单和复选框)。

恶意代码将被送到MySQL数据库,然后“注入”。要查看这个过程,首先考虑以下基本的MySQL SELECT查询语句:

SELECT * FROM xmen WHERE username = ‘wolverine’

此查询会向有“xmen”表的数据库要求返回某一段MySQL中用户名为“wolverine”的数据。

在Web表单中,用户将输入wolverine,然后这些数据将被传到MySQL查询。

如果输入无效,黑客还有其他方法控制数据库,如设置用户名:

‘ OR ’‘=’‘

你可能认为使用正常的PHP和MySQL句法执行输入是安全的,因为每当有人输入恶意代码,他们将会得到一个“无效的查询”的消息,但事实并非如此。黑客很聪明,且因为涉及数据库清理和重设管理权限,任何一个安全漏洞都不容易纠正。

两种对MySQL注入攻击的常见误解如下:

1.网管认为恶意注入可用防病毒软件或反间谍软件清理。事实是,这种类型的感染利用了MySQL数据库的弱点。它不能简单地被任何反间谍软件或防病毒程序删除。

2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。事实并非如此。这种类型的感染是由于有人将恶意代码输入到网站不受保护表单,然后访问数据库。MySQL注入可通过删除恶意脚本清除掉,而不是使用防病毒程序。

用户输入验证流程

备份一个清洁的数据库,并放置在服务器外。输出一套MySQL表并保存在桌面。

然后转到服务器,先暂时关闭表单输入。这意味着表单不能处理数据,网站被关闭了。

然后启动清理进程。首先,在您的服务器上,清理遗留的混乱的MySQL注入。更改所有的数据库,FTP和网站的密码。

在最坏的情况下,如果你清理迟了,你可以再次检查在您服务器上运行的隐藏程序。这些隐藏程序是黑客安装的木马。将其完全删除并更改所有FTP权限。扫描服务器上所有木马程序和恶意软件。

当您修改PHP脚本程序时,将处理表单数据。防止MySQL注入的一个好办法是:连用户数据也不信任。用户输入验证对于防止MySQL注入是相当重要的。

设计一个过滤器筛选出用户输入,以下是几点提示:

1.输入到表单的是数字。你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。

2.如果是Email地址。验证其是否由允许的字符组合构成,如“ @ ” ,A-Z,a-z或一些数字。

3.如果是人名或用户名。可以通过是否包含任何非法字符验证它,如and和*,是可用于SQL注入的恶意字符。

验证数字输入

下面的脚本验证了是否输入一个从0.001至无限大的有效数字。值得一提的是,在一个PHP程序中,甚至可以允许使用一定范围内的数字。使用此验证脚本可确保输入到表单的只是一个数字。

假设在程序中有三个数字变量;您需要将它们进行验证,我们将它们命名num1 , num2和num3:

 //Validate numerical input

  if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001)

  {

  }

  else

  {

  }

  ?>

And条件可被延长到能容纳超过三个数字。所以,如果你有10个,您将只需要扩展AND语句。

这可以用来验证一个只接受数字的表单,如合同数量,许可证号码,电话号码等。

验证文字和邮件地址的输入

以下可以用于验证诸如用户名,名字以及电子邮件地址的表单输入:

 //Validate text input

  if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name']))

  {

  }

  else

  if ($empty==0)

  {

  }

  else

  {

  }

  ?>

该验证脚本的一个优点是,它不接受空白输入。一些恶意用户还通过空白投入操纵数据库。使用上面的脚本,只验证一个文字变量, “ $name”。这意味着,如果有三个文字变量,你可以分别对每个变量设置一个验证脚本,以确保每一个变量都在进入数据库前通过了审查。

相关视频

    没有数据

相关阅读 Mac OS X 系统上如何升级 Mysql 数据库?mysql数据库root密码忘记的修改方法mysql启动错误1067简单解决办法彻底解决mysql中文乱码的办法Dos远程登录mysql数据库详细图文教程mysql怎么开启远程登录功能mysql自动定时备份数据库的最佳方法-支持windows系统mysql数据库损坏快速修复方法

文章评论
发表评论

热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3

最新文章 微信3.6.0测试版更新了微信支付漏洞会造成哪 360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗

人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本