XtGem Forum catalog

CuDemVN.Wap.Sh

- GetSmile.Mobie.In - Diễn đàn chia sẻ Cú đêm Việt Nam
- AiChat.Wap.Sh - Diễn đàn Xtgem Việt Nam
- HamTruyen.Xtgem.Com - Blog Ham Truyện nơi hội tụ của những tín đồ mê truyện chữ
* Trang chủ >> WapMaster
Tìm Kiếm Thảo Luận
↓↓

SQL Injection là gì? Share function PHP chống SQL Injection

Admin* RoSino18k *
* 26-01-2016
SQL Injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update,… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy, lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase...


Các dạng lỗi SQL Injection thường gặp


- Không kiểm tra ký tự thoát truy vấn
- Xử lý không đúng kiểu
- Lỗi bảo mật bên trong máy chủ cơ sở dữ liệu
- Blind SQL injection
- Thay đổi giá trị điều kiện truy vấn
- Điều kiện lỗi
- Thời gian trễ

Một số dạng tấn công thường gặp với các ứng dụng web


- Dạng tấn công vượt qua kiểm tra lúc đăng nhập
- Dạng tấn công sử dụng câu lệnh SELECT
- Dạng tấn công sử dụng câu lệnh INSERT
- Dạng tấn công sử dụng stored-procedures

Share function fix SQLi Injection sử dụng cho chống SQL Injection trong trường hợp các bác IT tò mò.
<?php
function anti_sql($sql) {
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|*|--|\)/"),"",$sql);
return trim(strip_tags(addslashes($sql)));
}

Chống sql inject 2. Các bạn có thể lựa chọn phương pháp khác nhau và function cho phù hợp
<?php
function id_replace($id) {
$id = str_replace("+","",$id);
$id = str_replace("'","''",$id);
$id = str_replace("UNI0N","",$id);
$id = str_replace("select","",$id);
$id = str_replace("*","",$id);
$id = str_replace("%","",$id);
$id = str_replace("%","",$id);
$id = str_replace("2b","",$id);
if (strlen($id) > 10) {
$id="";
}
return $id;
}
function string_replace($string) {
$string = str_replace("&quot;",""",$string);
$string = str_replace("+","",$string);
$string = str_replace("'","''",$string);
$string = str_replace("<","[",$string);
$string = str_replace(">","]",$string);
$string = str_replace("&gt;","]",$string);
$string = str_replace("&lt;","[",$string);
$string = str_replace("UNI0N","",$string);
$string = str_replace("select","",$string);
$string = str_replace("*","",$string);
$string = str_replace("%","",$string);
$string = str_replace("%","",$string);
$string = str_replace("2b","",$string);
if (strlen($string) > 15) {
$string="";
}
return $string;
}

Các bạn hãy dùng thử và phân tích khả năng ứng dụng. Chúc các bạn thành công! vui

Nguồn: TuoiTreIT
↑↑ Lượt xem: 441
score
Đánh giá: 4.5/ 5, 441 bình chọn
- Chia sẻ:G  T
BBCode:

Link:
+ Còn “nhiều” Lắm!
+

Share code Diễn đàn trên Xtgem Full chức năng cực chất GetSmile.Mobie.In bởi Cú Đêm Việt Nam

+

Share code PHP hiển thị thông tin khách đang online trên Site

+

Sử dụng HTML và CSS tạo hiệu ứng hiển thị mô tả khi di chuột vào hình ảnh

+

Ajax là gì? Hướng dẫn code cơ bản khi xử lý dữ liệu với jQuery Ajax

+

Share full code PHP bộ tool cài đặt và quản lý Filelist KhoTruyen365 Xtgem

Trang chủ Cú Đêm Việt Nam Trang Chủ[1-1-441]