標籤:
Q:如果把使用者輸入的沒有任何改動的放到SQL的查詢語句中,很有可能會導致SQL注入,比如說下面的例子:
$unsafe_variable = $_POST[‘user_input‘]; mysql_query("INSERT INTO `table` (`column`) VALUES (‘$unsafe_variable‘)");
為什麼會有注入漏洞呢?因為使用者可以輸入value‘); DROP TABLE table;-- 然後查詢語句就變成了這樣
INSERT INTO `table` (`column`) VALUES(‘value‘); DROP TABLE table;--‘)
A:通過使用先行編譯語句(prepared statements)和參數化查詢(parameterized queries)。
有兩種方式去完成這個:
1. 使用PDO對象(對於任何資料庫驅動都好用)$stmt = $pdo->prepare(‘SELECT * FROM employees WHERE name = :name‘);$stmt->execute(array(‘name‘ => $name));
2. 使用MySqli$stmt = $dbConnection->prepare(‘SELECT * FROM employees WHERE name = ?‘);$stmt->bind_param(‘s‘, $name);$stmt->execute();
================
通常有一下幾種方法:
(1)輸入驗證和過濾
(2)預先處理Sql語句
(3)採用預存程序
(4)輸入白名單
(5)一般的簡單過濾,直接用php的addslashes函數即可。
全面防注入:
function inject_check($sql_str) { return eregi(‘select|insert|update|delete|\‘|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile‘, $sql_str); // 進行過濾}function verify_id($id=null) { if (!$id) { exit(‘沒有提交參數!‘); } // 是否為空白判斷 elseif (inject_check($id)) { exit(‘提交的參數非法!‘); } // 注射判斷 elseif (!is_numeric($id)) { exit(‘提交的參數非法!‘); } // 數字判斷 $id = intval($id); // 整型化 return $id;}
function str_check( $str ) { if (!get_magic_quotes_gpc()) { // 判斷magic_quotes_gpc是否開啟 $str = addslashes($str); // 進行過濾 } $str = str_replace("_", "\_", $str); // 把 ‘_‘過濾掉 $str = str_replace("%", "\%", $str); // 把 ‘%‘過濾掉 return $str;}
function post_check($post) { if (!get_magic_quotes_gpc()) { // 判斷magic_quotes_gpc是否為開啟 $post = addslashes($post); // 進行magic_quotes_gpc沒有開啟的情況對提交資料的過濾 } $post = str_replace("_", "\_", $post); // 把 ‘_‘過濾掉 $post = str_replace("%", "\%", $post); // 把 ‘%‘過濾掉 $post = nl2br($post); // 斷行符號轉換 $post = htmlspecialchars($post); // html標記轉換 return $post;}
/** * 轉義需要插入或者更新的欄位值 * * 在所有查詢和更新的欄位變數都需要調用此方法處理資料 * * @param mixed $str 需要處理的變數 * @return mixed 返迴轉義後的結果 */ public function escape($str) { if (is_array($str)) { foreach ($str as $key => $value) { $str[$key] = $this->escape($value); } } else { return addslashes($str); } return $str; }
使用執行個體:
public function _saveWithWhere($tableName, $row, $where, $sync = false) { // 產生要插入/更新的欄位的SQL字串 $values = ‘‘; foreach ($row as $searchKey => $val) { $values .= "`{$searchKey}` = ‘{escape($val)}‘,"; } $values = trim($values, ","); // 有itemId的話就UPDATE沒有的話就INSERT if (trim($where)) { $sql = "UPDATE {$tableName} SET {$values} WHERE {$where} "; }else { $sql = "INSERT INTO {$tableName} SET {$values}"; } $this->saveLog($sql); // lib_DB->update 只返回 boolean 當 insert 的時候需要擷取 last_id 就不行 return $this->_update($sql, $sync); }
其他重要:
1. http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php
php 防止sql注入
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
