php mysql防止sql注入詳細說明

要防sql注入我必須從sql語句到php教程 get post 等資料接受處理上來做文章了，下面我們主要講php 與mysql教程的sql語句上處理方法 ，可能忽略的問題。

看這個例子：

　　

// supposed input

　　$name = “ilia’; delete from users;”;

　　mysql_query(“select * from users where name=’{$name}’”);

　　很明顯最後資料庫教程執行的命令是：

　　select * from users where name=ilia; delete from users

　　這就給資料庫帶來了災難性的後果--所有記錄都被刪除了。

　　不過如果你使用的資料庫是mysql，那麼還好，mysql_query()函數不允許直接執行這樣的操作(不能單行進行多個語句操作)，所以你可以放心。如果你使用的資料庫是sqlite或者postgresql，支援這樣的語句，那麼就將面臨滅頂之災了。

　　上面提到，sql注入主要是提交不安全的資料給資料庫來達到攻擊目的。為了防止sql注入攻擊，php內建一個功能可以對輸入的字串進行處理，可以在較底層對輸入進行安全上的初步處理，也即magic quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項啟用，那麼輸入的字串中的單引號，雙引號和其它一些字元前將會被自動加上反斜線。

　　但magic quotes並不是一個很通用的解決方案，沒能屏蔽所有有潛在危險的字元，並且在許多伺服器上magic quotes並沒有被啟用。所以，我們還需要使用其它多種方法來防止sql注入。

　　許多資料庫本身就提供這種輸入資料處理功能。例如php的mysql操作函數中有一個叫mysql_real_escape_string()的函數，可將特殊字元和可能引起資料庫操作出錯的字元轉義。

　　看這段代碼：

　　

//如果magic quotes功用啟用

　　if (get_magic_quotes_gpc()) {

　　$name = strips教程lashes($name);

　　}else{

　　$name = mysql_real_escape_string($name);

　　}

　　mysql_query(“select * from users where name=’{$name}’”);

　　注意，在我們使用資料庫所帶的功能之前要判斷一下magic quotes是否開啟，就像上例中那樣，否則兩次重複處理就會出錯。如果mq已啟用，我們要把加上的去掉才得到真實資料。

　　除了對以上字串形式的資料進行預先處理之外，儲存binary資料到資料庫中時，也要注意進行預先處理。否則資料可能與資料庫自身的儲存格式相衝突，引起資料庫崩潰，資料記錄丟失，甚至丟失整個庫的資料。有些資料庫如 postgresql，提供一個專門用來編碼位元據的函數pg_escape_bytea()，它可以對資料進行類似於base64那樣的編碼。

　　如：

　

　// for plain-text data use:

　　pg_escape_string($regular_strings);

　　// for binary data use:

　　pg_escape_bytea($binary_data);