php防止SQL注入攻击与XSS攻击方法

　　本文介绍下，在php中防止SQL注入攻击与XSS攻击的二个简单方法，感兴趣的朋友可以参考下。

　　本节内容：

　　SQL注入攻击与XSS攻击的防范方法

　　在php编程中，所有有打印的语句如echo，print等在打印前都要使用htmlentities() 进行过滤，这样可以防止Xss。

　　注意，中文要写出htmlentitiess($name,ENT_NOQUOTES,GB2312)。

　　mysql_real_escape_string()

　　SQL语句中，如果有类似这样的写法：

　　复制代码代码示例:

　　"select * from cdr where src =".$userId;

　　要修改为：

　　复制代码代码示例:

　　$userId=mysql_real_escape_string($userId)

　　另外，有打印的语句如echo，print等在打印前都要使用htmlentities() 进行过滤，这样可以防止Xss，注意，中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。

　　【相关阅读】

　　首先，来看下php中的sql注入攻击。

　　复制代码代码如下:

　　<?php

　　mysql_connect("localhost","root","123456")or die("数据库连接失败!");

　　mysql_select_db("test1");

　　$user=$_post['uid'];

　　$pwd=$_POST['pass'];

　　if(mysql_query("SELECT * from where

　　admin

　　= `username`='$user' or `password`='$pwd'"){

　　echo "用户成功登陆..";

　　} eles {

　　echo "用户名或密码出错";

　　}

　　以上代码用于检测用户名或密码是否正确，可是在一些恶意攻击者中提交一些敏感代码，后果可想而知。

　　post判断注入的方式有2种。

　　1、在form表单的文本框输入 "or‘1'=1"或者"and 1=1"

　　在查询数据库的语句就应该是：

　　SELECT admin from where login = `user`=''or‘1'=1' or `pass`=‘xxxx'

　　当然也不会出现什么错误,因为or在sql的语句中代表和，或的意思。当然也会提示错误。

　　当时我们已经发现了可以执行SQL语句之后就可以查询当前表的所有信息。例如：正确的管理员账户和密码进行登录入侵。。

　　修复方式1：

　　使用javascript脚本过滤特殊字符(不推荐,指标不治本)

　　如果攻击者禁用了javascript还是可以进行SQL注入攻击。。

　　修复方式2：

　　使用mysql的自带函数进行过滤。