PHP与SQL注入攻击防范小技巧

2015-01-24信息快讯网

SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。

下面来谈谈SQL注入攻击是如何实现的,又如何防范。

 看这个例子:
 
// supposed input 
$name = "ilia'; DELETE FROM users;"; 
mysql_query("SELECT * FROM users WHERE name='{$name}'"); 

 很明显最后数据库执行的命令是:

SELECT * FROM users WHERE name=ilia; DELETE FROM users

 这就给数据库带来了灾难性的后果C所有记录都被删除了。

 不过如果你使用的数据库是MySQL,那么还好,mysql_query()函数不允许直接执行这样的操作(不能单行进行多个语句操作),所以你可以放心。如果你使用的数据库是SQLite或者PostgreSQL,支持这样的语句,那么就将面临灭顶之灾了。

 上面提到,SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用,那么输入的字符串中的单引号,双引号和其它一些字符前将会被自动加上反斜杠\。

 但Magic Quotes并不是一个很通用的解决方案,没能屏蔽所有有潜在危险的字符,并且在许多服务器上Magic Quotes并没有被启用。所以,我们还需要使用其它多种方法来防止SQL注入。

 许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有一个叫mysql_real_escape_string()的函数,可将特殊字符和可能引起数据库操作出错的字符转义。

 看这段代码:
 
//如果Magic Quotes功用启用 
if (get_magic_quotes_gpc()) { 
$name = stripslashes($name); 
}else{ 
$name = mysql_real_escape_string($name); 
} 

mysql_query("SELECT * FROM users WHERE name='{$name}'"); 

 注意,在我们使用数据库所带的功能之前要判断一下Magic Quotes是否打开,就像上例中那样,否则两次重复处理就会出错。如果MQ已启用,我们要把加上的\去掉才得到真实数据。

 除了对以上字符串形式的数据进行预处理之外,储存Binary数据到数据库中时,也要注意进行预处理。否则数据可能与数据库自身的存储格式相冲突,引起数据库崩溃,数据记录丢失,甚至丢失整个库的数据。有些数据库如 PostgreSQL,提供一个专门用来编码二进制数据的函数pg_escape_bytea(),它可以对数据进行类似于Base64那样的编码。

 如:
 
// for plain-text data use: 
pg_escape_string($regular_strings); 

// for binary data use: 
pg_escape_bytea($binary_data); 

 另一种情况下,我们也要采用这样的机制。那就是数据库系统本身不支持的多字节语言如中文,日语等。其中有些的ASCII范围和二进制数据的范围重叠。

 不过对数据进行编码将有可能导致像LIKE abc% 这样的查询语句失效。
php中使用$_REQUEST需要注意的一个问题
PHP执行批量mysql语句的解决方法
PHP闭包(Closure)使用详解
PHP5中Cookie与 Session使用详解
PHP容易忘记的知识点分享
基于ubuntu下nginx+php+mysql安装配置的具体操作步骤
Php中用PDO查询Mysql来避免SQL注入风险的方法
php中防止SQL注入的最佳解决方法
PHP 读取Postgresql中的数组
php cc攻击代码与防范方法
细谈php中SQL注入攻击与XSS攻击
php DOS攻击实现代码(附如何防范)
PHP代码网站如何防范SQL注入漏洞攻击建议分享
PHP中全面阻止SQL注入式攻击分析小结
php去除重复字的实现代码
php中判断字符串是否全是中文或含有中文的实现代码
php中模拟POST传递数据的两种方法分享
php中获得视频时间总长度的另一种方法
Sorting Array Values in PHP(数组排序)
PHP 图片上传代码
PHP中通过语义URL防止网站被攻击的方法分享
PHP正确配置mysql(apache环境)
PHP MySQL应用中使用XOR运算加密算法分享
php中将图片gif,jpg或mysql longblob或blob字段值转换成16进制字符串
pdo中使用参数化查询sql
PHP FOR MYSQL 代码生成助手(根据Mysql里的字段自动生成类文件的)
PHP的SQL注入实现(测试代码安全不错)
PHP中防止SQL注入实现代码
PHP+SQL 注入攻击的技术实现以及预防办法
discuz的php防止sql注入函数
PHP+SQL 注入攻击的技术实现以及预防办法
php防攻击代码升级版
IP攻击升级,程序改进以对付新的攻击
PHP中防止SQL注入攻击和XSS攻击的两个简单方法
©2014-2024 dbsqp.com