扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
限制用户权限,防止CSRF,严格控制上传文件类型,加密混淆javascript代码,提高攻击门槛,使用更先进的哈希算法将重要信息保存在数据库中。
[div][div]
//几个有用的php字符串处理函数
[div][div]
一个
[div][div]
//防止sql注入
[div][div]
当用PHP编码时,一些基本的安全问题:
注意初始化你的变量。
[div][div]
2.防止sql注入(SQL注入)
[div][div]
[div]
[div]
[div][div]
(1)过滤掉所有危险的参数字符串,如select、insert、update、delete、union、into、load _ file、outfile/_、。/,'并摆脱' select_ from _*_
[div][div]
(2)除掉a.php?id=1asdfasdfasdf
[div][div]
(3)去掉',' % ',有特殊含义的字符。
[div][div]
(4)过滤和转换编辑的内容。
[div][div]
一般来说,有两个。1.初始化你的变量。2.一定要过滤你的变量。
[div][div]
//在服务器端用mysql_real_escape_string清理客户端数据在服务器端清理客户端数据是每个程序员经常要做的工作。虽然我们通常在客户端添加Javascript验证,但是恶意用户很容易构造自己的表单来提交数据,以绕过客户端验证。此外,当Javascript在客户端被禁用时,验证无法工作。因此,有必要在服务器端清理数据。介绍了用mysql_real_escape_string清洗数据的方法,清洗后的数据可以直接插入数据库。
[div][div]
由于mysql_real_escape_string需要mysql数据库连接,所以在调用mysql_real_escape_string之前必须连接MySQL数据库。
[div][div]
PHP:
[div][div]
一个
[div][div]
调用方法PHP:
[div][div]
一个
[div][div]
清理后的数据可以直接插入数据库。
[div][div]
立正!Mysql_real_escape_string必须在(PHP无极商城网站优化4 >: = 4.3.0,PHP 5)。否则只能用mysql_escape_string。两者的区别在于:
[div][div]
Mysql_real_escape_string考虑了连接的当前字符集,而mysql_escape_string没有考虑。
[div][div]
既然mysql_real_escape_string需要mysql数据库连接,那么在深圳做一个网站需要多少钱?所以在调用mysql_real_escape_string之前,必须连接mysql数据库。
[div][div]
当我们知道数据类型是字符串时,我们可以在清理数据时限制字符串的长度。这种方法来自大卫·莱恩,休·e·威廉,用PHP和MySQL的Web数据库应用(O’Reilly,2004年5月)
[div][div]
PHP:
[div][div]
一个
[div][div]
方法:PHP:
[div][div]
一个
[div][div]
清除$_POST数组中的“username”并截取前20个字符。
[div][div]
//关于sql注入
[div][div]
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流