PHP與SQL注入攻擊[二]

php與SQL注入攻擊[二]

Magic Quotes

上文提到，SQL注入主要是提交不安全的資料給資料庫來達到攻擊目的。為了防止SQL注
入攻擊，PHP內建一個功能可以對輸入的字串進行處理，可以在較底層對輸入進行安全
上的初步處理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc
選項啟用，那麼輸入的字串中的單引號，雙引號和其它一些字元前將會被自動加上反斜線\。

但Magic Quotes並不是一個很通用的解決方案，沒能屏蔽所有有潛在危險的字元，並且在許
多伺服器上Magic Quotes並沒有被啟用。所以，我們還需要使用其它多種方法來防止SQL注
入。

許多資料庫本身就提供這種輸入資料處理功能。例如PHP的MySQL操作函數中有一個叫mysql_real_escape_string()的函數，可將特殊字元和可能引起資料庫操作出錯的字元轉義。

參考：
http://cn2.php.net/mysql_real_escape_string
有興趣可以看看下面的評論:)

看這段代碼：

//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);

注意，在我們使用資料庫所帶的功能之前要判斷一下Magic Quotes是否開啟，就像上例
中那樣，否則兩次重複處理就會出錯。如果MQ已啟用，我們要把加上的\去掉才得到真實
資料。

除了對以上字串形式的資料進行預先處理之外，儲存Binary資料到資料庫中時，也要注
意進行預先處理。否則資料可能與資料庫自身的儲存格式相衝突，引起資料庫崩潰，資料
記錄丟失，甚至丟失整個庫的資料。有些資料庫如PostgreSQL，提供一個專門用來編碼
位元據的函數pg_escape_bytea()，它可以對資料進行類似於Base64那樣的編碼。

如：
// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

另一種情況下，我們也要採用這樣的機制。那就是資料庫系統本身不支援的多位元組語言
如中文，日語等。其中有些的ASCII範圍和位元據的範圍重疊。
不過對資料進行編碼將有可能導致像LIKE abc%　這樣的查詢語句失效。

