如果用户输入未经修改就插入到SQL查询中,则应用程序很容易受到SQL注入的攻击,如下例所示:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
这是因为用户可以输入类似值的内容);DROP TABLE表;--,并且查询变为:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
可以采取什么措施防止这种情况发生?
当前回答
安全警告:此答案不符合安全最佳实践。转义不足以防止SQL注入,请改用准备好的语句。使用以下概述的策略,风险自负。(此外,在PHP7中删除了mysql_real_ascape_string()。)
警告:mysql扩展名此时被删除。我们建议使用PDO扩展
使用此PHP函数mysql_escape_string(),您可以快速获得良好的预防效果。
例如:
SELECT * FROM users WHERE name = '".mysql_escape_string($name_from_html_form)."'
mysql_escape_string-转义用于mysql_query的字符串
为了更好地预防,您可以在末尾添加。。。
wHERE 1=1 or LIMIT 1
最后你得到:
SELECT * FROM users WHERE name = '".mysql_escape_string($name_from_html_form)."' LIMIT 1
其他回答
无论你最终使用的是什么,确保你的输入没有被magic_quotes或其他善意的垃圾破坏,如果有必要的话,通过条带斜杠或其他方式来清理它。
我认为,在PHP应用程序(或任何web应用程序)中防止SQL注入的最佳方法是考虑应用程序的架构。如果防止SQL注入的唯一方法是记住使用一个特殊的方法或函数,它在每次与数据库对话时都会做正确的事情,那么这是错误的。这样,在代码的某个时刻忘记正确格式化查询只是时间问题。
采用MVC模式和CakePHP或CodeIgniter这样的框架可能是正确的方法:创建安全数据库查询等常见任务已在这些框架中得到解决并集中实现。它们可以帮助您以合理的方式组织web应用程序,并让您更多地考虑加载和保存对象,而不是安全地构造单个SQL查询。
一个简单的方法是使用像CodeIgniter或Laravel这样的PHP框架,它具有内置的过滤和活动记录等功能,因此您不必担心这些细微差别。
安全警告:此答案不符合安全最佳实践。转义不足以防止SQL注入,请改用准备好的语句。
SQL语句中转义特殊字符的一些准则。
不要使用MySQL。此扩展已弃用。请改用MySQLi或PDO。
MySQLi
对于手动转义字符串中的特殊字符,可以使用mysqli_real_escape_string函数。除非使用mysqli_set_charset设置了正确的字符集,否则该函数将无法正常工作。
例子:
$mysqli = new mysqli('host', 'user', 'password', 'database');
$mysqli->set_charset('charset');
$string = $mysqli->real_escape_string($string);
$mysqli->query("INSERT INTO table (column) VALUES ('$string')");
要使用准备好的语句自动转义值,请使用mysqli_prepare和mysqli_stmt_bind_param,其中必须提供相应绑定变量的类型以进行适当的转换:
例子:
$stmt = $mysqli->prepare("INSERT INTO table (column1, column2) VALUES (?,?)");
$stmt->bind_param("is", $integer, $string);
$stmt->execute();
无论您使用prepared语句还是mysqli_real_escape_string,您都必须知道正在使用的输入数据的类型。
因此,如果使用准备好的语句,则必须指定mysqli_stmt_bind_param函数的变量类型。
正如名字所说,mysqli_real_escape_string的使用是为了转义字符串中的特殊字符,因此它不会使整数安全。此函数的目的是防止破坏SQL语句中的字符串,以及它可能对数据库造成的损坏。如果使用得当,mysqli_realescape_string是一个有用的函数,尤其是与sprintf结合使用时。
例子:
$string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';
$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);
echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5
$integer = '99999999999999999999';
$query = sprintf("SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);
echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647
我建议使用PDO(PHP数据对象)运行参数化SQL查询。
这不仅可以防止SQL注入,还可以加快查询速度。
而且,通过使用PDO而不是mysql_、mysqli_和pgsql_函数,可以使应用程序从数据库中抽象出一点,这是很少需要切换数据库提供程序的情况。
