一、 建立一个安全抽象层

　　我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中，而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中，并且针对用户输入的每一项调用这个函数。当然，我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中，从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类；在本篇中，我们正要讨论其中的一些。

　　进行这种抽象至少存在三个优点（而且每一个都会改进安全级别）：

　　1. 本地化代码。

　　2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。

　　3. 当基于安全特征进行构建并且恰当使用时，这将会有效地防止我们前面所讨论的各种各样的注入式攻击。

　　二、 改进现有的应用程序

　　如果你想改进一个现有的应用程序，则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示：

function safe( $string ) {
　return "''" . mysql_real_escape_string( $string ) . "''"
}

　　【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来，就可以使用这个函数来构造一个$query变量，如下所示：

$variety = safe(

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

在PHP中全面阻止SQL注入式攻击之三 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-25 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 123下一页 分享到： 更多 你可能对下面的文章感兴趣 CSS网页制作:浮动清除的新方法 Photoshop教程:用USM滤镜锐化将照片变清晰 Photoshop鼠绘教程:绘制逼真的卡通麻雀 利用HttpSessionListener统计在线人数 - 编程入门网 研发大型PHP项目的方法 Photoshop制作卡通天空的神奇棱镜 vbs版IP地理位置查询小偷 Photoshop制作动画文字特效:闪烁的霓虹灯文字 在SpringSide 2.0中使用多个数据库 - 编程入门网 浅谈Linux磁盘存储管理 上一篇: PHP与MYSQL交互函数表学习笔记下一篇: FC 5 php 不可以连接远程mysql数据库 关于在PHP中全面阻止SQL注入式攻击之三的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 Spring MVC中的MultiActionController用法详解 - 编程入门网 用最简单的方法打造最实用最时尚的效果 Linux 下架设LAMP PS合成教程：合成一只长着大嘴巴的苹果 Linux初成长（一） Flash MX2004入门与进阶实例——绘图基础（6） 获得位图文件的信息 两个SQL SERVER的概念 优化多个网站和多个关键词是如何做的 VBS教程：函数-FormatNumber 函数 qmail+vpopmail+sqwebmail的安装步骤（1） Flash手绘一副帅气眼镜(3) 利用CodeDom和反射动态编译并执行程序集 作品欣赏:超强震撼视觉冲击设计实例 Linux系统环境下如何获得U盘拔插的信息 Photoshop儿童插画教程:肥胖的河马先生 网站推广过程中快速增加外链的10个方法 最重要的Java EE最佳实践 - 编程入门网 一个很实用的基于XML的网络mp3播放器 windows2003 64位注册码 序列号 激活码

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　现在，你的用户试图进行一个注入式攻击-通过输入下列内容作为变量$variety的值：

lagrein'' or 1=1;

　　注意，如果不进行上面的"清理"，则最后的查询将如下所示（这将导致无法预料的结果）：

SELECT * FROM wines WHERE variety = ''lagrein'' or 1=1;''

　　然而现在，既然用户的输入已经被清理，那么查询语句就成为下面这样一种无危害的形式：

SELECT * FROM wines WHERE variety = ''lagrein\'' or 1=1\;''

　　既然数据库中不存在与指定的值相应的variety域(这正是恶意用户所输入的内容-lagrein'' or 1=1;)，那么，这个查询将不能返回任何结果，并且注入将会失败。

　　三、 保护一个新的应用程序

　　如果你正在创建一个新的应用程序，那么，你可以从头开始创建一个安全抽象层。如今，PHP 5新改进的对于MySQL的支持（这主要体现在新的mysqli扩展中）为这种安全特征提供了强有力的支持（既有过程性的，也有面向对象特征的）。你可以从站点http://php.net/mysqli上获取有关mysqli的信息。注意，只有当你使用--with-mysqli=path/to/mysql_config选项编译PHP时，这种mysqli支持才可用。下面是该代码的一个过程性版本，用于保护一个基于mysqli的查询：

＜?php
　//检索用户的输入
　$animalName =

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

在PHP中全面阻止SQL注入式攻击之三 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-25 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 123下一页 分享到： 更多 你可能对下面的文章感兴趣 CSS网页制作:浮动清除的新方法 Photoshop教程:用USM滤镜锐化将照片变清晰 Photoshop鼠绘教程:绘制逼真的卡通麻雀 利用HttpSessionListener统计在线人数 - 编程入门网 研发大型PHP项目的方法 Photoshop制作卡通天空的神奇棱镜 vbs版IP地理位置查询小偷 Photoshop制作动画文字特效:闪烁的霓虹灯文字 在SpringSide 2.0中使用多个数据库 - 编程入门网 浅谈Linux磁盘存储管理 上一篇: PHP与MYSQL交互函数表学习笔记下一篇: FC 5 php 不可以连接远程mysql数据库 关于在PHP中全面阻止SQL注入式攻击之三的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 ********诱惑 维权防骗网 相关文章 Spring MVC中的MultiActionController用法详解 - 编程入门网 用最简单的方法打造最实用最时尚的效果 Linux 下架设LAMP PS合成教程：合成一只长着大嘴巴的苹果 Linux初成长（一） Flash MX2004入门与进阶实例——绘图基础（6） 获得位图文件的信息 两个SQL SERVER的概念 优化多个网站和多个关键词是如何做的 VBS教程：函数-FormatNumber 函数 qmail+vpopmail+sqwebmail的安装步骤（1） Flash手绘一副帅气眼镜(3) 利用CodeDom和反射动态编译并执行程序集 作品欣赏:超强震撼视觉冲击设计实例 Linux系统环境下如何获得U盘拔插的信息 Photoshop儿童插画教程:肥胖的河马先生 网站推广过程中快速增加外链的10个方法 最重要的Java EE最佳实践 - 编程入门网 一个很实用的基于XML的网络mp3播放器 windows2003 64位注册码 序列号 激活码

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　该mysqli扩展提供了一组函数用于构

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!