php - 给网站添加防sql注入补丁
1,sql注入原理及危害:
如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
这时如果用户输入类似 VALUE"); DROP TABLE表名; 便会使查询变成:
INSERT INTO table (column) VALUES('VALUE'); DROP TABLE table;
从而把整个表给删除
2,安全补丁
(1)功能说明:可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。
方法1:将war.php引用到需要防护的页面内
require_once('waf.php');
方法2:在php.ini文件配置中做如下修改,即可自动将所有的php页面头部添加防护
auto_prepend_file = waf.php路径;
(3)补丁下载:
php_patch.zip
