PHP MYSQL注入攻击需要预防7个要点
2014-02-07 22:41
483 查看
1:数字型参数使用类似intval,floatval这样的方法强制过滤。
2:字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤,而不是简单的addslashes。
3:最好抛弃mysql_query这样的拼接SQL查询方式,尽可能使用PDO的prepare绑定方式。
4:使用rewrite技术隐藏真实脚本及参数的信息,通过rewrite正则也能过滤可疑的参数。
5:关闭错误提示,不给攻击者提供敏感信息:display_errors=off。
6:以日志的方式记录错误信息:log_errors=on和error_log=filename,定期排查,Web日志最好也查。
7:不要用具有FILE权限的账号(比如root)连接MySQL,这样就屏蔽了load_file等危险函数。
2:字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤,而不是简单的addslashes。
3:最好抛弃mysql_query这样的拼接SQL查询方式,尽可能使用PDO的prepare绑定方式。
4:使用rewrite技术隐藏真实脚本及参数的信息,通过rewrite正则也能过滤可疑的参数。
5:关闭错误提示,不给攻击者提供敏感信息:display_errors=off。
6:以日志的方式记录错误信息:log_errors=on和error_log=filename,定期排查,Web日志最好也查。
7:不要用具有FILE权限的账号(比如root)连接MySQL,这样就屏蔽了load_file等危险函数。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- PHP MYSQL注入攻击需要预防7个要点
- PHP MYSQL注入攻击需要预防7个要点
- PHP+SQL 注入攻击的技术实现以及预防办法
- PHP基础----PHP 与 MySQL----28用户数据添加与防 SQL 注入攻击
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP SQL 注入攻击的技术实现以及预防办法
- 攻击方法:谈php+mysql注入语句构造
- PHP+SQL 注入攻击的技术实现以及预防办法
- Php+Mysql注入攻击详解
- 关于PHP mysql_real_escape_string() 函数对数据库的保护作用 ,预防数据库被攻击的一种手段
- PHP和MySQL注入攻击
- PHP+SQL 注入攻击的技术实现以及预防办法
- PHP+SQL 注入攻击的技术实现以及预防办法
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP和MySQL注入攻击
- PHP+MySQL 网站 SQL 注入攻击测试用例
- PHP SQL 注入攻击的技术实现以及预防办法
- php mysql注入攻击解决方案
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP SQL 注入攻击的技术实现以及预防办法