本帖最後由 u010572351 於 2013-06-27 21:10:49 編輯
目前我知道的sql攻擊是填入了大量的 '%這樣的特殊字元來實現的,如果我是登陸介面想要防sql攻擊,
我知道使用者名稱和密碼不會出現特殊字元,我使用正則匹配,只要出現了特殊字元我直接就將其打死,這樣處理好嗎?
還有,addslashes 一般做什麼用的啊?麻煩高手多分享下防注入這些,小白知道的太少了。
主要是以下不是很清楚:
magic_quotes_gpc=off
magic_quotes_gpc=on
addslashes()
stripslashes()
str_replace();
如果不是登陸、搜尋等入口頁面,平時php頁面正常的dql語句應該不用考慮注入問題吧。
回複討論(解決方案)
// 適用各個 PHP 版本的用法if (get_magic_quotes_gpc()) { $lastname = stripslashes($_POST['lastname']);}else { $lastname = $_POST['lastname'];}// 如果使用 MySQL$lastname = mysql_real_escape_string($lastname);echo $lastname; // O\'reilly$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
// 適用各個 PHP 版本的用法if (get_magic_quotes_gpc()) { $lastname = stripslashes($_POST['lastname']);}else { $lastname = $_POST['lastname'];}// 如果使用 MySQL$lastname = mysql_real_escape_string($lastname);echo $lastname; // O\'reilly$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
你這個應該是經驗哦,實際開發中,好用不?
好用不好用,自己用了才知道。
好用不好用,自己用了才知道。
我想問一下,你上面的寫法兩個問題:
1.好像說的是如果magic_quotes_gpc開啟了,含有 特殊字元的sql會順利加入mysql,加入的時候不再需要addslashes(),取值的時候也不需要stripslashes(),因為系統已經處理了,你上面好像還處理了一下,是這樣的嗎?
if (get_magic_quotes_gpc()) { //如果 magic_quotes_gpc開啟了,則會影響 post、get、cookie 請求的資料,單/雙引號、反斜線會在前面自動加上反斜線,因此要先用stripslashes去掉反斜線以免出現雙重轉義 $lastname = stripslashes($_POST['lastname']);}else { //否則取原資料 $lastname = $_POST['lastname'];}
if (get_magic_quotes_gpc()) { //如果 magic_quotes_gpc開啟了,則會影響 post、get、cookie 請求的資料,單/雙引號、反斜線會在前面自動加上反斜線,因此要先用stripslashes去掉反斜線以免出現雙重轉義 $lastname = stripslashes($_POST['lastname']);}else { //否則取原資料 $lastname = $_POST['lastname'];}
先感謝,我現在意識到有兩層意思:
1.特殊字元能不能正常被mysql執行,和轉義有關。
2.能被mysql執行,但是會出現惡意特殊字元讓mysql執行注入。
不知道對不對,對於mysql注入,應該是利用了mysql能夠識別並執行一些特殊字元,但是出現了惡意的執行結果是吧?
magic_quotes_gpc 開關
php 5.3 預設關閉
php 5.4 已取消
判斷 get_magic_quotes_gpc() 的返回,已是遠古的事情了
只要sql語句書寫規範,就沒有問題。例如不要使用字串串連,而是使用代入。正確地使用引號。使用PDO。
絕對安全是不可能的。與成本有很大關係。