如果用户输入未经修改就插入到SQL查询中,则应用程序很容易受到SQL注入的攻击,如下例所示:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
这是因为用户可以输入类似值的内容);DROP TABLE表;--,并且查询变为:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
可以采取什么措施防止这种情况发生?
当前回答
使用PDO和准备好的查询。
($conn是PDO对象)
$stmt = $conn->prepare("INSERT INTO tbl VALUES(:id, :name)");
$stmt->bindValue(':id', $id);
$stmt->bindValue(':name', $name);
$stmt->execute();
其他回答
有许多方法可以防止SQL注入和其他SQL攻击。你可以很容易地在互联网上找到它(谷歌搜索)。当然,PDO是一个很好的解决方案。但我想建议您一些防止SQL注入的良好链接。
什么是SQL注入以及如何防止
SQL注入PHP手册
Microsoft对PHP中SQL注入和预防的解释
还有一些类似于防止MySQL和PHP的SQL注入。
现在,为什么需要防止SQL注入查询?
我想告诉您:为什么我们要通过下面的一个简短示例来防止SQL注入:
查询登录身份验证匹配:
$query="select * from users where email='".$_POST['email']."' and password='".$_POST['password']."' ";
现在,如果有人(黑客)
$_POST['email']= admin@emali.com' OR '1=1
和密码。。。。
查询将被解析到系统中,直到:
$query="select * from users where email='admin@emali.com' OR '1=1';
另一部分将被丢弃。那么,会发生什么?未经授权的用户(黑客)可以以管理员身份登录,而无需密码。现在,他/她可以做管理员/电子邮件管理员可以做的任何事情。看,如果不阻止SQL注入,这是非常危险的。
我几年前就写过这个小函数:
function sqlvprintf($query, $args)
{
global $DB_LINK;
$ctr = 0;
ensureConnection(); // Connect to database if not connected already.
$values = array();
foreach ($args as $value)
{
if (is_string($value))
{
$value = "'" . mysqli_real_escape_string($DB_LINK, $value) . "'";
}
else if (is_null($value))
{
$value = 'NULL';
}
else if (!is_int($value) && !is_float($value))
{
die('Only numeric, string, array and NULL arguments allowed in a query. Argument '.($ctr+1).' is not a basic type, it\'s type is '. gettype($value). '.');
}
$values[] = $value;
$ctr++;
}
$query = preg_replace_callback(
'/{(\\d+)}/',
function($match) use ($values)
{
if (isset($values[$match[1]]))
{
return $values[$match[1]];
}
else
{
return $match[0];
}
},
$query
);
return $query;
}
function runEscapedQuery($preparedQuery /*, ...*/)
{
$params = array_slice(func_get_args(), 1);
$results = runQuery(sqlvprintf($preparedQuery, $params)); // Run query and fetch results.
return $results;
}
这允许在一行C#字符串中运行语句。格式如下:
runEscapedQuery("INSERT INTO Whatever (id, foo, bar) VALUES ({0}, {1}, {2})", $numericVar, $stringVar1, $stringVar2);
考虑到变量类型,它会逃逸。若您试图参数化表、列名称,它将失败,因为它将每个字符串放在引号中,这是无效语法。
安全更新:以前的str_replace版本允许通过向用户数据中添加{#}标记进行注入。如果替换包含这些令牌,则preg_replace_callback版本不会导致问题。
对于那些不确定如何使用PDO(来自mysql_函数)的人,我制作了一个非常非常简单的PDO包装器,它是一个单独的文件。它的存在是为了显示应用程序需要做的所有常见事情是多么容易。适用于PostgreSQL、MySQL和SQLite。
基本上,在阅读手册的同时阅读它,了解如何在实际生活中使用PDO函数,从而使以所需格式存储和检索值变得简单。
我想要一列$count=数据库::列('SELECT count(*)FROM `user`');我想要一个数组(key=>value)结果(即,用于生成一个选择框)$pairs=数据库::pairs('SELECT `id',`username`FROM`user`');我想要单行结果$user=DB::行('SELECT*FROM`user`WHERE `id`=?',数组($user_id));我想要一系列结果$banned_users=DB::fetch('SELECT*FROM `user`WHERE `banned`=?',数组('RUE'));
我建议使用PDO(PHP数据对象)运行参数化SQL查询。
这不仅可以防止SQL注入,还可以加快查询速度。
而且,通过使用PDO而不是mysql_、mysqli_和pgsql_函数,可以使应用程序从数据库中抽象出一点,这是很少需要切换数据库提供程序的情况。
不推荐的警告:这个答案的示例代码(与问题的示例代码一样)使用了PHP的MySQL扩展,该扩展在PHP 5.5.0中被弃用,在PHP 7.0.0中被完全删除。安全警告:此答案不符合安全最佳实践。转义不足以防止SQL注入,请改用准备好的语句。使用以下概述的策略,风险自负。(此外,在PHP7中删除了mysql_real_ascape_string()。)重要的防止SQL注入的最佳方法是使用Prepared语句而不是转义,正如公认的答案所示。有Aura.Sql和EasyDB这样的库可以让开发人员更容易地使用准备好的语句。若要了解更多有关为什么准备好的语句更善于停止SQL注入的信息,请参阅此mysql_real_ascape_string()旁路以及最近修复的WordPress中的Unicode SQL注入漏洞。
注入预防-mysql_real_ascape_string()
PHP有一个专门制作的函数来防止这些攻击。您所需要做的就是使用一个函数,mysql_real_aescape_string。
mysql_real_aescape_string获取一个将在mysql查询中使用的字符串,并返回同一个字符串,所有SQL注入尝试都安全逃脱。基本上,它会将用户可能输入的那些麻烦的引号(')替换为MySQL安全的替代品,即转义引号“”。
注意:您必须连接到数据库才能使用此功能!
//连接到MySQL
$name_bad = "' OR 1'";
$name_bad = mysql_real_escape_string($name_bad);
$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
echo "Escaped Bad Injection: <br />" . $query_bad . "<br />";
$name_evil = "'; DELETE FROM customers WHERE 1 or username = '";
$name_evil = mysql_real_escape_string($name_evil);
$query_evil = "SELECT * FROM customers WHERE username = '$name_evil'";
echo "Escaped Evil Injection: <br />" . $query_evil;
您可以在MySQL-SQL注入预防中找到更多详细信息。
