php禁止网页抓取( 两种对MySQL注入攻击的常见误解--MySQL注入)

　　php禁止网页抓取(

两种对MySQL注入攻击的常见误解--MySQL注入)

　　使用 PHP 编程防止 MySQL 注入或 HTML 表单滥用

　　MySQL 注入的目的是接管 网站 数据库并窃取信息。许多网站开发人员已经使用常见的开源数据库，例如MySQL，来存储密码、个人信息和管理信息等重要信息。

　　MySQL 很受欢迎，因为它与最流行的服务器端脚本语言 PHP 一起使用。此外，PHP 是主导 Internet 的 Linux-Apache 服务器的主要语言。所以这意味着黑客可以很容易地利用 PHP，就像 Windows 的*敏*感*词*软件一样。

　　黑客将大量恶意代码（通过下拉菜单、搜索框、联系表单、查询表单和复选框）输入到不安全的 Web 表单中。

　　恶意代码将被发送到 MySQL 数据库，然后“注入”。要查看此过程，首先考虑以下基本 MySQL SELECT 查询：

　　SELECT * FROM xmen WHERE 用户名 = 'wolverine'

　　该查询将请求具有“xmen”表的数据库返回MySQL中用户名为“wolverine”的某条数据。

　　在 web 表单中，用户将输入 wolverine，此数据将传递给 MySQL 查询。

　　如果输入无效，黑客还有其他方式控制数据库，比如设置用户名：

　　' 或 ''=''

　　您可能认为使用普通的 PHP 和 MySQL 语法来执行输入是安全的，因为每当有人输入恶意代码时，他们都会收到“无效查询”消息，但事实并非如此。黑客很聪明，因为它涉及数据库清理和重置管理权限，任何安全漏洞都不容易纠正。

　　关于 MySQL 注入攻击的两个常见误解如下：

　　1.网管认为恶意注入可以用杀毒软件或反*敏*感*词*软件清理。事实上，这种类型的感染利用了 MySQL 数据库的弱点。它不能简单地被任何反*敏*感*词*软件或防病毒程序删除。

　　2. MySQL 注入是由于从另一台服务器或外部源复制受感染的文件。但事实上，并非如此。这种类型的感染是由于有人将恶意代码输入到 网站 未受保护的表单中，然后访问数据库造成的。MySQL 注入可以通过删除恶意脚本来清理，而不是使用防病毒程序。

　　用户输入验证过程

　　备份一个干净的数据库并将其放置在服务器之外。导出一组 MySQL 表并将它们保存在桌面上。

　　然后去服务器，先暂时关闭表单输入。这意味着表单无法处理数据并且 网站 已关闭。

　　然后开始清理过程。首先，在您的服务器上，清理剩余的混乱 MySQL 注入。更改所有数据库、FTP 和 网站 密码。

　　在最坏的情况下，如果您清理晚了，您可以仔细检查服务器上运行的隐藏程序。这些隐藏的程序是黑客安装的木马。完全删除它并更改所有 FTP 权限。扫描服务器以查找所有*敏*感*词*木马和恶意软件。

　　修改 PHP 脚本时会处理表单数据。防止 MySQL 注入的一个好方法是甚至不信任用户数据。用户输入验证对于防止 MySQL 注入非常重要。

　　要设计一个过滤器来过滤掉用户输入，这里有一些提示：

　　1.数字被输入到表格中。您可以通过测试它是否等于或大于 0.001 来验证它是否是一个数字（假设您不接受零）。

　　2.如果是电子邮件地址。验证它是否收录允许的字符组合，例如“@”、AZ、az 或一些数字。

　　3.如果是人名或用户名。可以通过是否收录and、*等非法字符来验证，这些非法字符是可以用于SQL注入的恶意字符。

　　验证数字输入

　　下面的脚本验证输入了从 0.001 到无穷大的有效数字。值得一提的是，在 PHP 程序中，甚至可以允许一定范围的数字。使用此验证脚本可确保仅在表单中输入数字。

　　假设您的程序中有三个数值变量；您需要验证它们，让我们将它们命名为 num1、num2 和 num3：

　　//验证数字输入

　　if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.00< @1)

　　{

　　}

　　别的

　　{

　　}

　　并且可以扩展条件以容纳三个以上的数字。所以如果你有 10 个，你只需要扩展 AND 语句。

　　这可用于验证仅接受数字的表单，例如合同数量、许可证号码、电话号码等。

　　验证文本和电子邮件地址条目

　　以下内容可用于验证表单输入，例如用户名、名字和电子邮件地址：

　　//验证文本输入

　　if (!preg_match('/^[-az.-@,'s]*$/i',$_POST['name']))

　　{

　　}

　　别的

　　if ($empty==0)

　　{

　　}

　　别的

　　{

　　}

　　此验证脚本的一个优点是它不接受空白输入。一些恶意用户还通过空白输入操作数据库。使用上面的脚本，只验证了一个文字变量“$name”。这意味着如果你有三个字面变量，你可以为每个变量设置一个验证脚本，以确保每个变量在进入数据库之前通过审查。