如何修復(fù)SQL注入漏洞

　　以下是OMG小編為大家收集整理的文章，希望對(duì)大家有所幫助。

　　SQL注入是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。其實(shí)就是就是提交精心構(gòu)造的數(shù)據(jù)庫(kù)語(yǔ)句，使其反饋一些有用的數(shù)據(jù)。說(shuō)白了就是去欺騙數(shù)據(jù)庫(kù)，假如只有web服務(wù)器的話(huà)，是沒(méi)法進(jìn)行SQL注入的。

　　網(wǎng)上常用的注入手法有兩種，一種是猜測(cè)，讓數(shù)據(jù)庫(kù)暴出用戶(hù)名、密碼等信息;另一種直接繞過(guò)認(rèn)證，取得權(quán)限。相對(duì)應(yīng)，要想修復(fù)此類(lèi)漏洞，就必須禁止特殊數(shù)據(jù)的提交或?qū)⑻厥馓峤坏臄?shù)據(jù)修改。

　　下面是不同腳本語(yǔ)言下的防注入過(guò)濾代碼，其實(shí)思想是一致的。

　　1、 PHP防注入過(guò)濾代碼

　　php 代碼復(fù)制內(nèi)容到剪貼板

　　/*************************

　　說(shuō)明： 判斷傳遞的變量中是否含有非法字符 如$_POST、$_GET

　　功能： 防注入

　　使用方法： 將下列代碼保存為ak,php,調(diào)用方式 在數(shù)據(jù)提交頁(yè)加上include("ak.php");

　　**************************/

　　function dowith_sql($str)

　　//實(shí)現(xiàn)將特征碼兩邊加.

　　{

　　$refuse_str="exec|and|or|select|update|from|where|order|by|*|delete||insert|into|values|create|table|

　　database|set|char|asc|cast|declare|