PHP與SQL注入攻擊防范小技巧

2024-05-04 23:17:04

字體：大中小

供稿：網(wǎng)友

下面來(lái)談?wù)凷QL注入攻擊是如何實(shí)現(xiàn)的，又如何防范。

　看這個(gè)例子：

復(fù)制代碼代碼如下:

// supposed input
$name = "ilia'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE");

　很明顯最后數(shù)據(jù)庫(kù)執(zhí)行的命令是：

SELECT * FROM users WHERE name=ilia; DELETE FROM users

　這就給數(shù)據(jù)庫(kù)帶來(lái)了災(zāi)難性的后果–所有記錄都被刪除了。

　不過(guò)如果你使用的數(shù)據(jù)庫(kù)是MySQL，那么還好，mysql_query()函數(shù)不允許直接執(zhí)行這樣的操作（不能單行進(jìn)行多個(gè)語(yǔ)句操作），所以你可以放心。如果你使用的數(shù)據(jù)庫(kù)是SQLite或者PostgreSQL，支持這樣的語(yǔ)句，那么就將面臨滅頂之災(zāi)了。

　上面提到，SQL注入主要是提交不安全的數(shù)據(jù)給數(shù)據(jù)庫(kù)來(lái)達(dá)到攻擊目的。為了防止SQL注入攻擊，PHP自帶一個(gè)功能可以對(duì)輸入的字符串進(jìn)行處理，可以在較底層對(duì)輸入進(jìn)行安全上的初步處理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項(xiàng)啟用，那么輸入的字符串中的單引號(hào)，雙引號(hào)和其它一些字符前將會(huì)被自動(dòng)加上反斜杠/。

　但Magic Quotes并不是一個(gè)很通用的解決方案，沒(méi)能屏蔽所有有潛在危險(xiǎn)的字符，并且在許多服務(wù)器上Magic Quotes并沒(méi)有被啟用。所以，我們還需要使用其它多種方法來(lái)防止SQL注入。

　許多數(shù)據(jù)庫(kù)本身就提供這種輸入數(shù)據(jù)處理功能。例如PHP的MySQL操作函數(shù)中有一個(gè)叫mysql_real_escape_string()的函數(shù)，可將特殊字符和可能引起數(shù)據(jù)庫(kù)操作出錯(cuò)的字符轉(zhuǎn)義。

　看這段代碼：

復(fù)制代碼代碼如下:

//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query("SELECT * FROM users WHERE");

　注意，在我們使用數(shù)據(jù)庫(kù)所帶的功能之前要判斷一下Magic Quotes是否打開(kāi)，就像上例中那樣，否則兩次重復(fù)處理就會(huì)出錯(cuò)。如果MQ已啟用，我們要把加上的/去掉才得到真實(shí)數(shù)據(jù)。

　除了對(duì)以上字符串形式的數(shù)據(jù)進(jìn)行預(yù)處理之外，儲(chǔ)存Binary數(shù)據(jù)到數(shù)據(jù)庫(kù)中時(shí)，也要注意進(jìn)行預(yù)處理。否則數(shù)據(jù)可能與數(shù)據(jù)庫(kù)自身的存儲(chǔ)格式相沖突，引起數(shù)據(jù)庫(kù)崩潰，數(shù)據(jù)記錄丟失，甚至丟失整個(gè)庫(kù)的數(shù)據(jù)。有些數(shù)據(jù)庫(kù)如 PostgreSQL，提供一個(gè)專(zhuān)門(mén)用來(lái)編碼二進(jìn)制數(shù)據(jù)的函數(shù)pg_escape_bytea()，它可以對(duì)數(shù)據(jù)進(jìn)行類(lèi)似于Base64那樣的編碼。

　如：

復(fù)制代碼代碼如下:

// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

　另一種情況下，我們也要采用這樣的機(jī)制。那就是數(shù)據(jù)庫(kù)系統(tǒng)本身不支持的多字節(jié)語(yǔ)言如中文，日語(yǔ)等。其中有些的ASCII范圍和二進(jìn)制數(shù)據(jù)的范圍重疊。

　不過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼將有可能導(dǎo)致像LIKE abc%　這樣的查詢(xún)語(yǔ)句失效。

上一篇：php中獲得視頻時(shí)間總長(zhǎng)度的另一種方法

下一篇：php中判斷字符串是否全是中文或含有中文的實(shí)現(xiàn)代碼