我们对于用户提交的数据,在插入数据库之前一定要进行一些必要的处理
SQL injection问题在ASP上可是闹得沸沸扬扬 当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off, 那么PHP就不会在敏感字符前加上反斜杠(\),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。但是,上面的方法只适用于 magic_quotes_gpc=Off的情况。作为一个开发者,你不知道每个用户的magic_quotes_gpc是On还是Off,如果把全部的 数据都用上addslashes(),那不是“滥杀无辜”了?假如magic_quotes_gpc=On,并且又用了addslashes()函数,那 让我们来看看:
_POST[message],内容为 Tom's book
//这此加入连接MySQL数据库的代码,自己写吧
//在$_POST[message]的敏感字符前加上反斜杠 $_POST[message] = addslashes($_POST[message]);
//由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠 $sql = "INSERT INTO msg_table VALUE($_POST[message]);";
//发送请求,把内容保存到数据库内 $query = mysql_query($sql);
//如果你再从数据库内提取这个记录并输出,就会看到 Tom\'s book ?>
这样的话,在magic_quotes_gpc=On的环境里,所有输入的单引号()都会变成(\)…… 其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时,该函数返回 TRUE;当magic_quotes_gpc=Off时,返回FALSE。至此,肯定已经有不少人意识到:问题已经解决。请看代 码:_quotes_gpc=Off,那就为提单提交的$_POST[message]里的敏感字符加反斜杠
//magic_quotes_gpc=On的情况下,则不加 if (!get_magic_quotes_gpc()) { $_POST[message] = addslashes($_POST[message]); } else {} ?>
其实说到这里,问题已经解决。下面再说一个小技巧。有时表单提交的变量不止一个,可能有十几个,几十个。那么一次一次地复制/粘帖 addslashes(),是否麻烦了一点?由于从表单或URL获取的数据都是以数组形式出现的,如$_POST、$_GET) 那就自定义一个可以“横扫千军”的函数: _quotes_gpc=Off,那么就开始处理if (!get_magic_quotes_gpc()) { //判断$content是否为数组 if (is_array($content)) {
//如果$content是数组,那么就处理它的每一个单无 foreach ($content as $key=>$value) { $content[$key] = addslashes($value); } } else {
//如果$content不是数组,那么就仅处理一次 addslashes($content); } } else {
//如果magic_quotes_gpc=On,那么就不处理 }
//返回$content return $content; } ?>
需要注意的是,magic_quotes_gpc=On ,只会处理$_GET,$_POST ,$_COOKIE,也即客户提的数据。
除去这种格式的函数是stripslashes();
还有一种处理方法
这个函数将一些特殊字符转换一下.
比如说
'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
' <' (less than) becomes '<'
'>' (greater than) becomes '>'
在插入前转换很大的一部分原因是执行sql时产生错误,比如说 " '之类的.
读数据的时候不需要转换是因为 不论&还是&浏览器都能识别.
如果不用HTMLSpecialChars,,就会导致读取时,要把" <script>"之类的HTML标签“原本”的输出,而这一输出就有漏洞了,万一那个插入数据库的人是黑客,插入的不是一般的字符串,而是 “ <script> <b> <body>”等等之类的东西,读取后,就是一个HTML文档之类的东西,这样,他可以利用这个漏洞欺骗其他人,或者借这个漏洞攻击别人等等,搞个框架跳转到某一网站等等操作
分享到:
相关推荐
jsp+servlet+mysql的使用,实现从jsp页面的表单输入数据,到servl进行处理,把数据插入数据库。 你可以学到连接数据库,向数据库插入数据,使用servle等
java向数据库插入数据与把数据显示到页面,是用于操作数据库的 保存图片到数据库 获取图片到到页面 CLOB类专用处理:
如何使用P处理在oracl中抽取数据,并插入数据 并对使用的关键P处理进行解释
mysql插入数据库编码解决mysql插入数据库编码解决
向数据库插入datetime类型的数据 一种是用jsp处理 两种是在sql语句上进行处理
百万条数据处理在10分钟之内,我本地测试8分多,可以使用拼接所有后缀名相同的邮箱地址到一条语句插入(比较low的方法,呵呵),这样可以大大提高速度,基本两分钟搞定,不过要先设置数据库支持的sql语句的最大长度...
ETL工具(kettle)使用系列(五)-kettle调用restApi接口获取数据插入数据库-真实案例脱密处理-kettle脚本
怎么恢复mysql数据库/数据库丢失怎么处理!看完视频很简单的操作。
1) 在处理大数据量时,会有大量的数据缓冲保存在Session的一级缓存中 2) 对大数据量查询时,慎用list()或者iterator()返回查询结果, 3) 对于关联操作,Hibernate虽然可以表达复杂的数据关系 4) 对含有关联的PO...
ETL工具(kettle)使用系列(四)-kettle调用webservice数据插入数据库-真实案例脱密处理
1、对ms sql server及其他数据库库中类似int identity的数据库类型没有处理,转出来的sql语句直接执行时,还需要做一下处理. 2、不支持长字符集类型.比如ms sql server中的image,oracle中的blob,clob,long以及db2中...
这是一个TCP/IP的程序,通过ONRECEIVE接收客户端连接,接收数据进行显示,并且能够显示到界面上,把符合条件的数据保存到SQLSERVER数据库中。其中,还有LISTBOX的横向滚动条的显示的内容,每次接收的内容滚动到控件...
mybaits 多线程 实现数据批量插入 (运用CountDownLatch实现闭锁) 1、mybatis批处理 2、数据分批量查询 3、数据分批量插入
主要介绍了mybatis 批量将list数据插入到数据库的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
想往表中插入一条数据,如果表中没有该条数据才插入,如果已经存在该条数据不插入。 该怎么处理? 一个比较笨的办法,是先用select查找表中是否已经存在该数据,然后再根据返回的结果决定是否insert。这样做...
对从客户端接收到的数据 进行处理之后 写入SQL数据库
用WebService实现对数据库进行操作(添加+删除+修改)
在WEB应用程序开发数据库操作类是一个必不可少的东西了,当然大家可以直接连接数据库进行查询,但这样维护不方便,整理了一个不错的PHP数据库...一个简单的数据库操作类,便于快速向数据库插入数据、删除数据,更新数据。
Java代码生成和删除数据库数据表,一个Java操作数据库方面的小知识,利用sun.jdbc.odbc.JdbcOdbcDriver驱动得到连接,实现新建数据表、插入数据、显示数据、获取结果集、删除表等功能,在执行过程中抛出异常处理信息...
在实际应用中,常常需要用户在页面上输入信息,并将这些信息插入到数据库中。只要允许用户输入数据,就有可能出现输入错误,并可能对Web应用程序创建和执行SQL代码产生致命的影响。 为了解决这个问题,除了对输入...