MySQL注入的意圖是接管刪除。
2. MySQL注入是由于復(fù)制了從另一臺服務(wù)器或外部來源被感染的文件。事實并非如此。這種類型的感染是由于有人將惡意代碼輸入到網(wǎng)站不受保護表單，然后訪問數(shù)據(jù)庫。MySQL注入可通過刪除惡意腳本清除掉，而不是使用防病毒程序。
用戶輸入驗證流程
備份一個清潔的數(shù)據(jù)庫，并放置在服務(wù)器外。輸出一套MySQL表并保存在桌面。
然后轉(zhuǎn)到服務(wù)器，先暫時關(guān)閉表單輸入。這意味著表單不能處理數(shù)據(jù)，網(wǎng)站被關(guān)閉了。
然后啟動清理進程。首先，在您的服務(wù)器上，清理遺留的混亂的MySQL注入。更改所有的數(shù)據(jù)庫，F(xiàn)TP和網(wǎng)站的密碼。
在最壞的情況下，如果你清理遲了，你可以再次檢查在您服務(wù)器上運行的隱藏程序。這些隱藏程序是黑客安裝的木馬。將其完全刪除并更改所有FTP權(quán)限。掃描服務(wù)器上所有木馬程序和惡意軟件。
當(dāng)您修改PHP腳本程序時，將處理表單數(shù)據(jù)。防止MySQL注入的一個好辦法是：連用戶數(shù)據(jù)也不信任。用戶輸入驗證對于防止MySQL注入是相當(dāng)重要的。
設(shè)計一個過濾器篩選出用戶輸入，以下是幾點提示：
1.輸入到表單的是數(shù)字。你可以通過測試它等于或大于0.001 (假設(shè)你不接受一個零)驗證它是不是數(shù)字。
2.如果是Email地址。驗證其是否由允許的字符組合構(gòu)成，如“ @ ” ，A-Z,a-z或一些數(shù)字。
3.如果是人名或用戶名�？梢酝ㄟ^是否包含任何非法字符驗證它，如and和*,是可用于SQL注入的惡意字符。
驗證數(shù)字輸入
下面的腳本驗證了是否輸入一個從0.001至無限大的有效數(shù)字。值得一提的是，在一個PHP程序中，甚至可以允許使用一定范圍內(nèi)的數(shù)字。使用此驗證腳本可確保輸入到表單的只是一個數(shù)字。
假設(shè)在程序中有三個數(shù)字變量;您需要將它們進行驗證，我們將它們命名num1 ， num2和num3：
//Validate numerical input
if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001)
{
}
else
{
}
?>
And條件可被延長到能容納超過三個數(shù)字。所以，如果你有10個，您將只需要擴展AND語句。
這可以用來驗證一個只接受數(shù)字的表單，如合同數(shù)量，許可證號碼，電話號碼等。
驗證文字和郵件地址的輸入
以下可以用于驗證諸如用戶名，名字以及電子郵件地址的表單輸入：
//Validate text input
if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name']))
{
}
else
if ($empty==0)
{
}
else
{
}
?>
該驗證腳本的一個優(yōu)點是，它不接受空白輸入。一些惡意用戶還通過空白投入操縱數(shù)據(jù)庫。使用上面的腳本，只驗證一個文字變量， “ $name”。這意味著，如果有三個文字變量，你可以分別對每個變量設(shè)置一個驗證腳本，以確保每一個變量都在進入數(shù)據(jù)庫前通過了審查。

查看更多 PhpWind教程  PhpWind模板風(fēng)格