防止MySQL注入或HTML表单滥用的PHP程序


Posted in PHP onJanuary 21, 2009

MySQL注入的意图是接管网站数据库并窃取信息。常见的开源数据库,如MySQL,已经被许多网站开发人员用来储存重要信息,如密码,个人信息和管理信息。
MySQL之所以流行,是因为它与最流行的服务器端脚本语言PHP一起使用。而且,PHP是主导互联网的Linux- Apache服务器的主要语言。因此,这意味着黑客可以很容易地利用PHP就像Windows的间谍软件一样。
黑客向一个无担保的网页表单输入大量恶意代码(通过下拉菜单,搜索框,联系表单,查询表单和复选框)。
恶意代码将被送到MySQL数据库,然后“注入”。要查看这个过程,首先考虑以下基本的MySQL SELECT查询语句:
SELECT * FROM xmen WHERE username = ‘wolverine'
此查询会向有“xmen”表的数据库要求返回某一段MySQL中用户名为“wolverine”的数据。
在Web表单中,用户将输入wolverine,然后这些数据将被传到MySQL查询。
如果输入无效,黑客还有其他方法控制数据库,如设置用户名:
‘ OR '‘='‘
你可能认为使用正常的PHP和MySQL句法执行输入是安全的,因为每当有人输入恶意代码,他们将会得到一个“无效的查询”的消息,但事实并非如此。黑客很聪明,且因为涉及数据库清理和重设管理权限,任何一个安全漏洞都不容易纠正。
两种对MySQL注入攻击的常见误解如下:
1.网管认为恶意注入可用防病毒软件或反间谍软件清理。事实是,这种类型的感染利用了MySQL数据库的弱点。它不能简单地被任何反间谍软件或防病毒程序删除。
2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。事实并非如此。这种类型的感染是由于有人将恶意代码输入到网站不受保护表单,然后访问数据库。MySQL注入可通过删除恶意脚本清除掉,而不是使用防病毒程序。
用户输入验证流程
备份一个清洁的数据库,并放置在服务器外。输出一套MySQL表并保存在桌面。
然后转到服务器,先暂时关闭表单输入。这意味着表单不能处理数据,网站被关闭了。
然后启动清理进程。首先,在您的服务器上,清理遗留的混乱的MySQL注入。更改所有的数据库,FTP和网站的密码。
在最坏的情况下,如果你清理迟了,你可以再次检查在您服务器上运行的隐藏程序。这些隐藏程序是黑客安装的木马。将其完全删除并更改所有FTP权限。扫描服务器上所有木马程序和恶意软件。
当您修改PHP脚本程序时,将处理表单数据。防止MySQL注入的一个好办法是:连用户数据也不信任。用户输入验证对于防止MySQL注入是相当重要的。
设计一个过滤器筛选出用户输入,以下是几点提示:
1.输入到表单的是数字。你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。
2.如果是Email地址。验证其是否由允许的字符组合构成,如“ @ ” ,A-Z,a-z或一些数字。
3.如果是人名或用户名。可以通过是否包含任何非法字符验证它,如and和*,是可用于SQL注入的恶意字符。
验证数字输入
下面的脚本验证了是否输入一个从0.001至无限大的有效数字。值得一提的是,在一个PHP程序中,甚至可以允许使用一定范围内的数字。使用此验证脚本可确保输入到表单的只是一个数字。
假设在程序中有三个数字变量;您需要将它们进行验证,我们将它们命名num1 , num2和num3:

//Validate numerical input 
if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001) 

{ 

} 

else 

{ 

} 

?>

And条件可被延长到能容纳超过三个数字。所以,如果你有10个,您将只需要扩展AND语句。
这可以用来验证一个只接受数字的表单,如合同数量,许可证号码,电话号码等。
验证文字和邮件地址的输入
以下可以用于验证诸如用户名,名字以及电子邮件地址的表单输入:
//Validate text input 
if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name'])) 

{ 

} 

else 

if ($empty==0) 

{ 

} 

else 

{ 

} 

?>

该验证脚本的一个优点是,它不接受空白输入。一些恶意用户还通过空白投入操纵数据库。使用上面的脚本,只验证一个文字变量, “ $name”。这意味着,如果有三个文字变量,你可以分别对每个变量设置一个验证脚本,以确保每一个变量都在进入数据库前通过了审查。
PHP 相关文章推荐
改进的IP计数器
Oct 09 PHP
php htmlspecialchars加强版
Feb 16 PHP
php 中文字符入库或显示乱码问题的解决方法
Apr 12 PHP
PHP的substr_replace将指定两位置之间的字符替换为*号
May 04 PHP
允许phpmyadmin空密码登录的配置方法
May 29 PHP
解析PHP正则提取或替换img标记属性
Jun 26 PHP
两种php给图片加水印的实现代码
Apr 18 PHP
[原创]ThinkPHP中SHOW_RUN_TIME不能正常显示运行时间的解决方法
Oct 10 PHP
PHP获取redis里不存在的6位随机数应用示例【设置24小时过时】
Jun 07 PHP
PHP mysqli事务操作常用方法分析
Jul 22 PHP
阿里云Win2016安装Apache和PHP环境图文教程
Mar 11 PHP
yii 框架实现按天,月,年,自定义时间段统计数据的方法分析
Apr 04 PHP
php 动态多文件上传
Jan 18 #PHP
PHP $_SERVER详解
Jan 16 #PHP
php 删除数组元素
Jan 16 #PHP
php完全过滤HTML,JS,CSS等标签
Jan 16 #PHP
php array_flip() 删除数组重复元素
Jan 14 #PHP
PHP mkdir()定义和用法
Jan 14 #PHP
php array_intersect()函数使用代码
Jan 14 #PHP
You might like
yii2.0数据库迁移教程【多个数据库同时同步数据】
2016/10/08 PHP
PhpStorm的使用教程(本地运行PHP+远程开发+快捷键)
2020/03/26 PHP
10个新的最有前途的JavaScript框架
2009/03/12 Javascript
起点页面传值js,有空研究学习下
2010/01/25 Javascript
js利用与或运算符优先级实现if else条件判断表达式
2010/04/15 Javascript
Javascript的并行运算实现代码
2010/11/19 Javascript
九种js弹出对话框的方法总结
2013/03/12 Javascript
js opener的使用详解
2014/01/11 Javascript
JavaScript删除指定子元素代码实例
2015/01/13 Javascript
JQuery页面地址处理插件jqURL详解
2015/05/03 Javascript
js实现点击按钮后给Div图层设置随机背景颜色的方法
2015/05/06 Javascript
JQuery选择器、过滤器大整理
2015/05/26 Javascript
基于jQuery仿淘宝产品图片放大镜特效
2020/10/19 Javascript
jQuery实现图片局部放大镜效果
2016/03/17 Javascript
深入浅析javascript中的作用域(推荐)
2016/07/19 Javascript
Vue.js绑定HTML class数组语法错误的原因分析
2016/10/19 Javascript
jQuery快速高效制作网页交互特效
2017/02/24 Javascript
jQuery 实现鼠标画框并对框内数据选中的实例代码
2017/08/29 jQuery
jQuery动态添加li标签并添加属性和绑定事件方法
2018/02/24 jQuery
微信小程序局部刷新触发整页刷新效果的实现代码
2018/11/21 Javascript
Vue使用Proxy监听所有接口状态的方法实现
2019/06/07 Javascript
[54:30]Liquid vs Newbee 2019国际邀请赛小组赛 BO2 第二场 8.15
2019/08/16 DOTA
flask中使用SQLAlchemy进行辅助开发的代码
2013/02/10 Python
Python入门篇之条件、循环
2014/10/17 Python
python库lxml在linux和WIN系统下的安装
2018/06/24 Python
Python实现一个数组除以一个数的例子
2019/07/20 Python
淘宝秒杀python脚本 扫码登录版
2019/09/19 Python
Python如何使用argparse模块处理命令行参数
2019/12/11 Python
Django之form组件自动校验数据实现
2020/01/14 Python
css3新单位vw、vh的使用教程
2018/03/23 HTML / CSS
Laravel中Kafka的使用详解
2021/03/24 PHP
客服专员岗位职责范本
2013/11/29 职场文书
学生会主席事迹材料
2014/01/28 职场文书
一年级学生期末评语
2014/04/21 职场文书
法人单位授权委托书范文
2014/10/06 职场文书
oracle DGMGRL ORA-16603报错的解决方法(DG Broker)
2021/04/06 Oracle