av手机免费在线观看,国产女人在线视频,国产xxxx免费,捆绑调教一二三区,97影院最新理论片,色之久久综合,国产精品日韩欧美一区二区三区

php語言

php中sql注入與XSS攻擊的介紹

時間:2025-01-09 08:38:08 php語言 我要投稿

php中sql注入與XSS攻擊的介紹

  有關(guān)php中sql注入與XSS攻擊的相關(guān)介紹,有需要的朋友不妨參考下。

  首先,來看下php中的sql注入攻擊。

  復(fù)制代碼 代碼如下:

  <?php

  mysql_connect("localhost","root","123456")or die("數(shù)據(jù)庫連接失敗!");

  mysql_select_db("test1");

  $user=$_post['uid'];

  $pwd=$_POST['pass'];

  if(mysql_query("SELECT * from where

  admin

  = `username`='$user' or `password`='$pwd'"){

  echo "用戶成功登陸..";

  } eles {

  echo "用戶名或密碼出錯";

  }

  ?>

  以上代碼用于檢測用戶名或密碼是否正確,可是在一些惡意攻擊者中提交一些敏感代碼,后果可想而知。

  post判斷注入的方式有2種。

  1、在form表單的文本框輸入 "or‘1'=1"或者"and 1=1"

  在查詢數(shù)據(jù)庫的語句就應(yīng)該是:

  SELECT admin from where login = `user`=''or‘1'=1' or `pass`=‘xxxx'

  當(dāng)然也不會出現(xiàn)什么錯誤,因為or在sql的語句中代表和,或的意思。當(dāng)然也會提示錯誤。

  當(dāng)時我們已經(jīng)發(fā)現(xiàn)了可以執(zhí)行SQL語句之后就可以查詢當(dāng)前表的所有信息。例如:正確的管理員賬戶和密碼進(jìn)行登錄入侵。。

  修復(fù)方式1:

  使用javascript腳本過濾特殊字符(不推薦,指標(biāo)不治本)

  如果攻擊者禁用了javascript還是可以進(jìn)行SQL注入攻擊。。

  修復(fù)方式2:

  使用mysql的自帶函數(shù)進(jìn)行過濾。

  復(fù)制代碼 代碼如下:

  <?php

  // 省略連接數(shù)據(jù)庫等操作

  $user=mysql_real_escape_string($_POST['user']);

  mysql_query("select * from admin whrer `username`='$user'");

  ?>

  2、XSS攻擊以及防范。

  提交表單:

  復(fù)制代碼 代碼如下:

  <form method="post" action="">

  <intup tyep="text" name="test">

  <intup tyep="submit" name="sub" value="提交">

  </form>

  接收文件:

  復(fù)制代碼 代碼如下:

  if(empty($_POST['sub'])){

  echo $_POST['test'];

  }

  代碼很簡單,只是模擬了下使用場景。

  3、加入攻擊者提交

  <script>alert(document.cookie);</script>

  在返回的頁面就應(yīng)該顯示當(dāng)前頁面的cookie信息。

  我們可以運用到某些留言板上(提前是沒過濾的),然后當(dāng)管理員審核改條信息時盜取COOKIE信息,并發(fā)送到攻擊者的空間或者郵箱。

  攻擊者可以使用cookie修改器進(jìn)行登陸入侵了。

  下面介紹一個最常用的解決方法。

  修復(fù)方案1:使用javascript進(jìn)行轉(zhuǎn)義

  修復(fù)方案2:使用php內(nèi)置函數(shù)進(jìn)行轉(zhuǎn)義

  復(fù)制代碼 代碼如下:

  <?php

  if(empty($_POST['sub'])){

  $str=$_POST['test'];

  htmlentities($srt);

  echo $srt;

  }

【php中sql注入與XSS攻擊的介紹】相關(guān)文章:

關(guān)于php中sql注入與XSS攻擊的相關(guān)介紹07-04

php防止SQL注入攻擊與XSS攻擊的方法07-01

php防止SQL注入攻擊與XSS攻擊方法08-07

了解常見的php中sql注入式攻擊10-15

在PHP中阻止SQL注入式攻擊的方法09-07

在PHP中全面阻止SQL注入式攻擊的方法05-14

PHP阻止SQL注入式攻擊的方法08-27

了解常見的php的sql注入式攻擊08-12

php中防止SQL注入的方法06-16