上一篇:PHP与SQL注入攻击[二] >>
PHP与SQL注入攻击[一]
Haohappy
http://blog.csdn.net/Haohappy2004
SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。
看这个例子:
// supposed input
$name = “ilia’; DELETE FROM users;”;
mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);
很明显最后数据库执行的命令是:
SELECT * FROM users WHERE name=ilia; DELETE FROM users
这就给数据库带来了灾难性的后果--所有记录都被删除了。
不过如果你使用的数据库是MySQL,那么还好,mysql_query()函数不允许直接执行这样的操作(不能单行进行多个语句操作),所以你可以放心。如果你使用的数据库是SQLite或者PostgreSQL,支持这样的语句,那么就将面临灭顶之灾了。
下一篇:用php或js获取图片大小,高宽尺寸. >>
相关文章:
- · PHP和JAVA的XML-RPC中文问题解决办法
- · 令你的网站获得任意Google PR值的方法
- · 解决RHAS3中Apache2的PHP上传文件大小的限制
- · PHP编实现程动态图像的创建
- · 用PHP生成PDF文件 with FPDF
- · php分别做为cgi和module来运行的配置
- · PHP中实现图片的锐化
- · 在Zeus Web Server中安装PHP语言支持
- · 一个阿拉伯数字转中文数字的函数
- · 在PHP中使用XML
- · PHP与已存在的Java应用程序集成
- · PHP数据库开发知多少
- · PHPShop存在多个安全漏洞
- · 用PHP调用Oracle存储过程
- · 用PHP实现登陆验证码(类似条行码状)
- · 用PHP函数解决SQL injection
- · 用PHP函数解决SQL injection
- · 用定制的PHP应用程序来获取Web服务器的状态信息
- · 用MySQL和PHP创建XML
- · 使用OOP技术来优化PHP应用程序
- · Windows下PHP4.0与Oracle 8的连接设置
- · 自定义PHP分页函数
- · 用libtemplate实现静态网页生成
- · 新版PHP极大的增强功能和性能
- · PHP中上传大体积文件时需要的设置
- · PHP中实现进程间通讯
- · PHP利用COM对象访问SQLServer、Access
- · PHP模拟SQL Server的两个日期处理函数
- · 如何过滤高亮显示非法字符
- · PHP中GET变量的使用
- · 输出控制类
- · 提取HTML标签
- · 一个查看session内容的函数
- · 类的另类用法--数据的封装
- · GD输出汉字的函数的分析
- · 网站加速 PHP 缓冲的免费实现方法
- · Windows下PHP的任意文件执行漏洞
- · php中的时间处理