欢迎来到Doc100.Net免费学习资源知识分享平台!
您的位置:首页 > 程序异常 >

防止sql流入攻击

更新时间: 2014-01-05 02:07:42 责任编辑: Author_N1

 

防止SQL注入攻击

使用预编译可以自动防止SQL注入攻击。


一般来说下面的案例是典型的容易受攻击的做法

$query = "select * from db_name where name='name' and password='xxxxxx'  ";

//看看有没有查询到

if(查询到){

   header("admin.php"); //登录成功,跳到管理员界面

}

else {

  header("login.php");  //登录失败跳回到登录页面

}

为什么说上面的代码容易被攻击,因为要想让$query执行成功,很简单

只要这样写就可以了,

$query= " select   *  from  db_name where name='name'  and password='xx' or 1='1' ";

密码乱写也没关系,这句语句仍然会成功执行。

下面是解决办法:

1.采用预编译,就是mysqli_stmt类文件来执行数据库查询语句。

2.更改登录逻辑

第一步根据用户的名字来查询密码

然后再调用数据库获得密码与这个密码比对,通过之后再登录到管理员界面。这样就防止密码被看到,因为密码和用户名不是放在同一个数据表中,自然黑客就不能通过上面手段看到密码了。

上一篇:上一篇
下一篇:下一篇

 

随机推荐程序问答结果

 

 

如对文章有任何疑问请提交到问题反馈,或者您对内容不满意,请您反馈给我们DOC100.NET论坛发贴求解。
DOC100.NET资源网,机器学习分类整理更新日期::2014-01-05 02:07:42
如需转载,请注明文章出处和来源网址:http://www.doc100.net/bugs/t/5940/
本文WWW.DOC100.NET DOC100.NET版权所有。