sql注入产生的原因以及如何防止？

1.sql注入产生的原因：
程序开发过程中不注意书写规范，对sql语句和关键字未进行过滤，导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行;

2.防止过滤：
1).过滤掉一些常见的数据库关键字：select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤；
2).在PHP配置文件中register_global=off;(设置为关闭状态)作用是将注册全局变量关闭掉；
3).sql语句书写的时候尽量不要忽略小引号和单引号；
4).提高数据库命名技巧，对于一些重要字段根据程序特点命名，取不易猜到的；
5).对于常用的方法加以封装，避免直接暴露sql语句；
6).开启安全模式，safe_mode=on;
7).打开magic_quotes_gpc=off,默认是关闭的，它打开后自动把用户提交的sql语句进行转换（加上\转义），这对防止sql注入有很大作用；因此开启magic_quotes_gpc=on
8).控制错误信息：关闭错误提示信息，将错误信息写入系统日志文件；
9).使用mysqli和pdo进行处理；

原文链接：https://blog.csdn.net/living_ren/article/details/79431758

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。