SQL注入

SQL注入是一種惡意攻擊，用戶利用在表單字段輸入SQL語句的方式來影響正常的SQL執行。

防范方式

使用mysql_real_escape_string()，或者addslashes()過濾數據

手動檢查每一數據是否為正確的數據類型

使用預處理語句并綁定變量

使用準備好的預處理語句

分離數據和SQL邏輯

預處理語句將自動過濾(如：轉義)

把它作為一個編碼規范，可以幫助團隊里的新人避免遇到以上問題

相比于直接執行SQL語句，預處理語句有兩個主要優點

預處理語句大大減少了分析時間，只做了一次查詢(雖然語句多次執行)。

綁定參數減少了服務器帶寬，你只需要發送查詢的參數，而不是整個語句。

預處理語句針對SQL注入是非常有用的，因為參數值發送后使用不同的協議，保證了數據的合法性。

而在PHP當中，使用預處理語句主要有兩種方法

使用mysqli數據庫

使用PDOStatement類對象

查詢只需要被解析(或準備)一次，但可以使用相同或不同的參數執行多次。當查詢準備好(Prepared)之后，數據庫就會分析，編譯并優化它要執行查詢的計劃。對于復雜查詢來說，如果你要重復執行許多次有不同參數的但結構相同的查詢，這個過程會占用大量的時間，使得你的應用變慢。通過使用一個預處理語句你就可以避免重復分析、編譯、優化的環節。簡單來說，預處理語句使用更少的資源，執行速度也就更快。

服務器的措施

關于SQL注入，不得不說的是現在大多虛擬主機都會把magic_quotes_gpc選項打開，在這種情況下所有的客戶端GET和POST的數據都會自動進行addslashes處理，所以此時對字符串值的SQL注入是不可行的，但要防止對數字值的SQL注入，如用intval()等函數進行處理。但如果你編寫的是通用軟件，則需要讀取服務器的magic_quotes_gpc后進行相應處理。

XSS攻擊

XSS(跨站點腳本攻擊)是一種攻擊，由用戶輸入一些數據到你的網站，其中包括客戶端腳本(通常JavaScript)。如果你沒有過濾就輸出數據到另一個web頁面，這個腳本將被執行。

防范方式

是針對非法的HTML代碼包括單雙引號等，使用htmlspecialchars()函數 。

在使用htmlspecialchars()函數的時候注意第二個參數, 直接用htmlspecialchars($string) 的話,第二個參數默認是ENT_COMPAT,函數默認只是轉化雙引號(“), 不對單引號(‘)做轉義.

所以,htmlspecialchars函數更多的時候要加上第二個參數, 應該這樣用: htmlspecialchars($string,ENT_QUOTES).當然,如果需要不轉化如何的引號,用htmlspecialchars($string,ENT_NOQUOTES).

另外, 盡量少用htmlentities, 在全部英文的時候htmlentities和htmlspecialchars沒有區別,都可以達到目的.但是,中文情況下, htmlentities卻會轉化所有的html代碼，連同里面的它無法識別的中文字符也給轉化了。

htmlentities和htmlspecialchars這兩個函數對 '之類的字符串支持不好,都不能轉化, 所以用htmlentities和htmlspecialchars轉化的字符串只能防止XSS攻擊,不能防止SQL注入攻擊.

代碼注入

代碼注入是利用計算機漏洞通過處理無效數據造成的。問題出在，當你不小心執行任意代碼，通常通過文件包含。寫得很糟糕的代碼可以允許一個遠程文件包含并執行。如許多PHP函數，如require可以包含URL或文件名

防范方式

過濾用戶輸入

在php.ini中設置禁用allow_url_fopen和allow_url_include。這將禁用require/include/fopen的遠程文件。

總結

以上是生活随笔為你收集整理的php安全性差,PHP安全性防范方式的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。