0

我想知道防止或取消 SQL 注入或 URL 的最佳方法。

例如,www.mysite.com/profile.php?id=18。这种网站(如果启用了 MySQL_Error)容易受到注入的攻击。我该如何预防?mysql_real_escape_string 将被弃用,所以它很快就会没用。

我尝试了 htmlspecialchars() 但它不适用于 URL。

4

3 回答 3

1

您需要采取很多步骤来防止 sql 注入

  • 删除 Web 用户的系统数据库权限
  • 参数化您的输入
  • 使用存储过程
  • 清理并验证您的输入
  • 保护您的错误信息

看看这篇关于这个主题的文章

http://www.codeproject.com/Articles/9378/SQL-Injection-Attacks-and-Some-Tips-on-How-to-Prev

于 2013-02-01T13:42:21.623 回答
0

您应该在查询中使用准备好的语句。使用此方法,您将防止 SQL 注入。

编辑:

在这里您可以找到一些指南/文档:

第一的

第二

于 2013-02-01T13:39:27.310 回答
-1
  1. 创建能够向您的电子邮件报告所有 php 错误的东西。您将能够更快地找到错误等,并且如果有任何问题,您将需要它来解决问题。(编码问题通常也是安全问题)代码框 1 是我为tnhteam.com编写的用于接收错误电子邮件的代码。例如,将其命名为 email-error-handler.php 并将其包含到您的站点中。
  2. 如果您有很多页面,请访问您网站上的所有页面或使用Xenu 的 Link Sleuth (TM)扫描您的网站。并修复所有问题,检查您的电子邮件是否有错误消息(第一次错误消息可以转到垃圾邮件/垃圾文件夹并设置错误消息文件夹)
  3. 在此之后,您可能想要求Beyond Security(1 个域免费)扫描您的网站,他们会找到有关您网站的所有重要信息和问题,并修复他们发现的所有错误。
  4. 解决 URL 注入问题:在代码框 2 中查找代码,有关更多信息,请访问我在代码框 2 中找到代码的站点

我希望这会帮助你走向正确的方向

密码框 1

<?php
//===========================================================================\\
//                                                                           \\
// Copyright (c) 2000-2015 Willem Vyent.        All rights reserved.         \\
//---------------------------------------------------------------------------\\
// http://www.tnhteam.com/                http://www.awesomehosting.org/     \\
//---------------------------------------------------------------------------\\
//                                                                           \\
//                                                                           \\
//                                                                           \\
//                                                                           \\
//         Coded by Willem Vyent                                             \\
// This program is distributed in the hope that it will be useful, but       \\
// WITHOUT ANY WARRANTY                                                      \\
//                                                                           \\
//                                                                           \\
//===========================================================================\\
if(!defined('FILE_PROTECT')) { // You should define this in your pages BEFORE you include this file 
   die('This file cannot be accessed directly!<br /><br />Dit bestand kan niet rechtstreeks worden benaderd<br /><br />Click <a href=\'http://' . $_SERVER['HTTP_HOST'] . '>here</a> to visit our homepage'); // Do not change it's a text for users who visit this document. we included a link as well...
}
    // Custom error handler - collecting information
    function awesome_error_handler($number, $message, $file, $line, $vars)

    {
$actual_link = "http://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";
    $email = "<p>An error known as number <strong>$number</strong> has been found on line <strong>$line</strong>, this error has been found in file <strong>$file</strong>. The requested URL with errors is $actual_link<br /><p> $message </p>";

    $email .= "<pre>" . print_r($vars, 1) . "</pre>";

    $headers = 'Content-type: text/html; charset=iso-8859-1' . "";

    // Email the error to the webmaster...
    error_log($email, 1, 'your-name@example.com', $headers); // Yor email here...

    // Make sure that you decide how to respond to errors (on the user's side)
    // Either echo an error message, or kill the entire project. It's up to you...
    // The code below ensures that we only "die" if the error was more than
    // just a NOTICE.
    if ( ($number !== E_NOTICE) && ($number < 1024) ) {
    die('Sorry, this page is broken, but our coders will fix it ASAP.'); // your message to the website user (visitor)
    }
    }
    // Tell this script to use this error handler when errors found..
    set_error_handler('awesome_error_handler');
    ?>

代码框 2

 <?php
 if(isset($_REQUEST["id"])){

if(!is_int($_REQUEST["id"])){

    //redirect this person back to homepage

 } else {

    $id_raw = trim(htmlentities($_REQUEST["id"]));
    $id_secure = mysql_real_escape_string($id_raw);
    $sql = "SELECT * FROM databasetable WHERE id='".$id_secure."'";

 }
}
?>
于 2015-01-29T00:15:37.227 回答