PHP防SQL注入的方法-防SQL注入

PHP防SQL注入的方法
2006年10月10日 星期二 上午 11:34
SQL注入攻擊是黑客攻擊網(wǎng)站最常用的手段。如果你的站點沒有使用嚴格的用戶輸入檢驗，那么常容易遭到SQL注入攻擊。SQL注入攻擊通常通過給站點數(shù)據(jù)庫提交不良的數(shù)據(jù)或查詢語句來實現(xiàn)，很可能使數(shù)據(jù)庫中的紀錄遭到暴露，更改或被刪除。下面來談談SQL注入攻擊是如何實現(xiàn)的，又如何防范。
看這個例子：
// supposed input
$name = “ilia’; Delete FROM users;”;
mysql_query(“Select * FROM users Where name=’{$name}’”);

很明顯最后數(shù)據(jù)庫執(zhí)行的命令是：
Select * FROM users Where name=ilia; Delete FROM users

這就給數(shù)據(jù)庫帶來了災難性的后果--所有記錄都被刪除了。不過如果你使用的數(shù)據(jù)庫是MySQL，那么還好，mysql_query()函數(shù)不允許直接執(zhí)行這樣的操作（不能單行進行多個語句操作），所以你可以放心。如果你使用的數(shù)據(jù)庫是SQLite或者PostgreSQL，支持這樣的語句，那么就將面臨滅頂之災了。

上面提到，SQL注入主要是提交不安全的數(shù)據(jù)給數(shù)據(jù)庫來達到攻擊目的。為了防止SQL注入攻擊，PHP自帶一個功能可以對輸入的字符串進行處理，可以在較底層對輸入進行安全上的初步處理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項啟用，那么輸入的字符串中的單引號，雙引號和其它一些字符前將會被自動加上反斜杠\。

但Magic Quotes并不是一個很通用的解決方案，沒能屏蔽所有有潛在危險的字符，并且在許多服務器上Magic Quotes并沒有被啟用。所以，我們還需要使用其它多種方法來防止SQL注入。許多數(shù)據(jù)庫本身就提供這種輸入數(shù)據(jù)處理功能。例如PHP的MySQL操作函數(shù)中有一個叫mysql_real_escape_string()的函數(shù)，可將特殊字符和可能引起數(shù)據(jù)庫操作出錯的字符轉(zhuǎn)義。

看這段代碼：

//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query(“Select * FROM users Where name=’{$name}’”);

注意，在我們使用數(shù)據(jù)庫所帶的功能之前要判斷一下Magic Quotes是否打開，就像上例中那樣，否則兩次重復處理就會出錯。如果MQ已啟用，我們要把加上的\去掉才得到真實數(shù)據(jù)。除了對以上字符串形式的數(shù)據(jù)進行預處理之外，儲存Binary數(shù)據(jù)到數(shù)據(jù)庫中時，也要注意進行預處理。否則數(shù)據(jù)可能與數(shù)據(jù)庫自身的存儲格式相沖突，引起數(shù)據(jù)庫崩潰，數(shù)據(jù)記錄丟失，甚至丟失整個庫的數(shù)據(jù)。有些數(shù)據(jù)庫如PostgreSQL，提供一個專門用來編碼二進制數(shù)據(jù)的函數(shù)pg_escape_bytea()，它可以對數(shù)據(jù)進行類似于Base64那樣的編碼。

如：

// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

另一種情況下，我們也要采用這樣的機制。那就是數(shù)據(jù)庫系統(tǒng)本身不支持的多字節(jié)語言如中文，日語等。其中有些的ASCII范圍和二進制數(shù)據(jù)的范圍重疊。不過對數(shù)據(jù)進行編碼將有可能導致像LIKE abc%　這樣的查詢語句失效。 
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]