要防sql注入我必須從sql語句到php get post 等數據接受處理上來做文章了,下面我們主要講php 與mysql的sql語句上處理方法,可能忽略的問題.
看這個例子,代碼如下:
- // supposed input
- $name = “ilia’; delete from users;”;
- mysql_query(“select * from users where name=’{$name}’”);
很明顯最后數據庫執行的命令是:
select * from users where name=ilia; delete from users
這就給數據庫帶來了災難性的后果--所有記錄都被刪除了,不過如果你使用的數據庫是mysql,那么還好,mysql_query()函數不允許直接執行這樣的操作(不能單行進行多個語句操作),所以你可以放心,如果你使用的數據庫是sqlite或者postgresql,支持這樣的語句,那么就將面臨滅頂之災了.
上面提到,sql注入主要是提交不安全的數據給數據庫來達到攻擊目的,為了防止sql注入攻擊,php自帶一個功能可以對輸入的字符串進行處理,可以在較底層對輸入進行安全上的初步處理,也即magic quotes,(php.ini magic_quotes_gpc),如果magic_quotes_gpc選項啟用,那么輸入的字符串中的單引號,雙引號和其它一些字符前將會被自動加上反斜杠.
但magic quotes并不是一個很通用的解決方案,沒能屏蔽所有有潛在危險的字符,并且在許多服務器上magic quotes并沒有被啟用,所以,我們還需要使用其它多種方法來防止sql注入.
許多數據庫本身就提供這種輸入數據處理功能,例如php的mysql操作函數中有一個叫mysql_real_escape_string()的函數,可將特殊字符和可能引起數據庫操作出錯的字符轉義,看這段代碼:
- //如果magic quotes功用啟用
- //開源代碼Vevb.com
- if (get_magic_quotes_gpc()) {
- $name = stripslashes($name);
- }else{
- $name = mysql_real_escape_string($name);
- }
- mysql_query(“select * from users where name=’{$name}’”);
注意,在我們使用數據庫所帶的功能之前要判斷一下magic quotes是否打開,就像上例中那樣,否則兩次重復處理就會出錯,如果mq已啟用,我們要把加上的去掉才得到真實數據.
除了對以上字符串形式的數據進行預處理之外,儲存binary數據到數據庫中時,也要注意進行預處理,否則數據可能與數據庫自身的存儲格式相沖突,引起數據庫崩潰,數據記錄丟失,甚至丟失整個庫的數據,有些數據庫如 postgresql,提供一個專門用來編碼二進制數據的函數pg_escape_bytea(),它可以對數據進行類似于base64那樣的編碼.如下代碼:
- // for plain-text data use:
- pg_escape_string($regular_strings);
- // for binary data use:
- pg_escape_bytea($binary_data);
新聞熱點
疑難解答
