一、 建立一个安全抽象层

　　我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中，而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中，并且针对用户输入的每一项调用这个函数。当然，我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中，从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类；在本篇中，我们正要讨论其中的一些。

　　进行这种抽象至少存在三个优点（而且每一个都会改进安全级别）：

　　1. 本地化代码。

　　2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。

　　3. 当基于安全特征进行构建并且恰当使用时，这将会有效地防止我们前面所讨论的各种各样的注入式攻击。

　　二、 改进现有的应用程序

　　如果你想改进一个现有的应用程序，则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示：

function safe( $string ) {
　return "''" . mysql_real_escape_string( $string ) . "''"
}

　　【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来，就可以使用这个函数来构造一个$query变量，如下所示：

$variety = safe(

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

在PHP中全面阻止SQL注入式攻击之三 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-25 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 123下一页 分享到： 更多 你可能对下面的文章感兴趣 Access数据库开发技巧(二) Flash基本绘图工具（下4） Router os 安装 Linux Oracle 数据库系统启动能有多快？ vbs 注册表操作类代码 用vb和vbs 破解flashxp的密码的代码 活动目录域加入域权限委派问题解答 linux下库文件的创建和使用及其他 基于Linux系统的Nagios网络管理模块的实现 命令实验 上一篇: PHP与MYSQL交互函数表学习笔记下一篇: FC 5 php 不可以连接远程mysql数据库 关于在PHP中全面阻止SQL注入式攻击之三的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 Actionscript制作的文字动画效果 SUSE：磁盘分区 C#读取网页内容 用批处理实现将文件以数字重命名的代码 即将推出solaris10最新快速安装光盘SAID4 Photoshop绘制漂亮的百合花花瓣 Cftextarea打造丰富文本框 PS调色入门教程:制作淡雅青色调图片 权衡Apache Geronimo EJB事务选项，第1部分: 容器管理事务 - 编程入门网 PS照片教程:随意给眼睛换颜色的制作方法 [视频教程]Microsoft_SQL Server 2005盛宴系列课程 商业智能之31：SQL Server 2005 BI概述 Java Web服务，第1部分: Java Web服务在未来一年内的发展 - 编程入门网 Photoshop照片教程:绝世惊艳美女 范式分类 - 编程入门网 Photoshop制作质感光感逼真篮球 Photoshop图层叠加调出冷色调美女 Flash MX2004入门与进阶实例——元件和实例(17) CSS高级技巧:滑动门技术 用tar包配置高可用性vsftp (下) Eclipse代码显示不全的原因 - 编程入门网

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　现在，你的用户试图进行一个注入式攻击-通过输入下列内容作为变量$variety的值：

lagrein'' or 1=1;

　　注意，如果不进行上面的"清理"，则最后的查询将如下所示（这将导致无法预料的结果）：

SELECT * FROM wines WHERE variety = ''lagrein'' or 1=1;''

　　然而现在，既然用户的输入已经被清理，那么查询语句就成为下面这样一种无危害的形式：

SELECT * FROM wines WHERE variety = ''lagrein\'' or 1=1\;''

　　既然数据库中不存在与指定的值相应的variety域(这正是恶意用户所输入的内容-lagrein'' or 1=1;)，那么，这个查询将不能返回任何结果，并且注入将会失败。

　　三、 保护一个新的应用程序

　　如果你正在创建一个新的应用程序，那么，你可以从头开始创建一个安全抽象层。如今，PHP 5新改进的对于MySQL的支持（这主要体现在新的mysqli扩展中）为这种安全特征提供了强有力的支持（既有过程性的，也有面向对象特征的）。你可以从站点http://php.net/mysqli上获取有关mysqli的信息。注意，只有当你使用--with-mysqli=path/to/mysql_config选项编译PHP时，这种mysqli支持才可用。下面是该代码的一个过程性版本，用于保护一个基于mysqli的查询：

＜?php
　//检索用户的输入
　$animalName =

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

在PHP中全面阻止SQL注入式攻击之三 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-25 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 123下一页 分享到： 更多 你可能对下面的文章感兴趣 Access数据库开发技巧(二) Flash基本绘图工具（下4） Router os 安装 Linux Oracle 数据库系统启动能有多快？ vbs 注册表操作类代码 用vb和vbs 破解flashxp的密码的代码 活动目录域加入域权限委派问题解答 linux下库文件的创建和使用及其他 基于Linux系统的Nagios网络管理模块的实现 命令实验 上一篇: PHP与MYSQL交互函数表学习笔记下一篇: FC 5 php 不可以连接远程mysql数据库 关于在PHP中全面阻止SQL注入式攻击之三的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 Actionscript制作的文字动画效果 SUSE：磁盘分区 C#读取网页内容 用批处理实现将文件以数字重命名的代码 即将推出solaris10最新快速安装光盘SAID4 Photoshop绘制漂亮的百合花花瓣 Cftextarea打造丰富文本框 PS调色入门教程:制作淡雅青色调图片 权衡Apache Geronimo EJB事务选项，第1部分: 容器管理事务 - 编程入门网 PS照片教程:随意给眼睛换颜色的制作方法 [视频教程]Microsoft_SQL Server 2005盛宴系列课程 商业智能之31：SQL Server 2005 BI概述 Java Web服务，第1部分: Java Web服务在未来一年内的发展 - 编程入门网 Photoshop照片教程:绝世惊艳美女 范式分类 - 编程入门网 Photoshop制作质感光感逼真篮球 Photoshop图层叠加调出冷色调美女 Flash MX2004入门与进阶实例——元件和实例(17) CSS高级技巧:滑动门技术 用tar包配置高可用性vsftp (下) Eclipse代码显示不全的原因 - 编程入门网

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　该mysqli扩展提供了一组函数用于构

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!