一、必须要对外部数据和用户输入数据进行检测

对于web程序来说,第一件事就是不能相信外部数据。(外部数据–不是程序员在程序中直接给出的数据)

例如对于来自POST表单的数据是不能直接使用的,必须经过处理才能使用。(当然要怎样处理要有您自己来决定啦)

例如
<?
$name = clean($_POST['name']);
function clean($str)
{
  $str = preg_replace('/[^a-Z]/', $str);
  return $str;
}
?>

二、要禁用php中安全性措施难以展开的设置

在php程序中为了避免变量的混用,要把register_globals关掉

即register_globals=Off,register_globals介绍

三、 代码要清晰

代码一

<?
$input = (isset($_POST['username']) ? $_POST['username']:”);  
?>

代码二

<?
$input = '';
if(isset($_POST['username']){
$input = $_POST['username'];
}else{
$input = '';
}
?>

你肯定喜欢第二段代码吧。当然看到第二段代码你就很清楚的看到第二段代码的问题了。

四、防止sql注入

对于表单获得的用户的输入,必须要经过处理才能用于sql语句。

如以下是sql语句,使用mysql_real_escape_string($pw)函数

$sql = ”select count(*) as ctr from users where username=’”.mysql_real—replace_string($username).”‘ and password=’”. mysql_real_escape_string($pw).”

这样就可以有效防止sql注入了。

广告


JackSun PHP

0 Replies

发表评论

电子邮件地址不会被公开。

Zend Studio 10正式版注册破解
(转)php防sql攻击—— mysql_real_escape_string 的使用