Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致SQL注入,比如说下面的例子:

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

为什么会有注入漏洞呢?因为用户可以输入value'); DROP TABLE table;-- 然后查询语句就变成了这样

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

A:通过使用预编译语句(prepared statements)和参数化查询(parameterized queries)。

有两种方式去完成这个:

1. 使用PDO对象(对于任何数据库驱动都好用)

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

$stmt->execute(array('name' => $name));
2. 使用MySqli

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

$stmt->execute();

================

通常有一下几种方法:

(1)输入验证和过滤
(2)预处理Sql语句
(3)采用存储过程
(4)输入白名单
(5)一般的简单过滤,直接用php的addslashes函数即可。

全面防注入:

function inject_check($sql_str) {

 return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);  // 进行过滤

}

function verify_id($id=null) {

 if (!$id) { exit('没有提交参数!'); }  // 是否为空判断

 elseif (inject_check($id)) { exit('提交的参数非法!'); }  // 注射判断

 elseif (!is_numeric($id)) { exit('提交的参数非法!'); }  // 数字判断

 $id = intval($id);  // 整型化

 return $id;

}

function str_check( $str ) {

 if (!get_magic_quotes_gpc()) {  // 判断magic_quotes_gpc是否打开

  $str = addslashes($str);  // 进行过滤

 }

 $str = str_replace("_", "\_", $str);  // 把 '_'过滤掉

 $str = str_replace("%", "\%", $str);  // 把 '%'过滤掉

 return $str;

}

function post_check($post) {

 if (!get_magic_quotes_gpc()) {  // 判断magic_quotes_gpc是否为打开

  $post = addslashes($post);  // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤

 }

 $post = str_replace("_", "\_", $post);  // 把 '_'过滤掉

 $post = str_replace("%", "\%", $post);  // 把 '%'过滤掉

 $post = nl2br($post);  // 回车转换

 $post = htmlspecialchars($post);  // html标记转换

 return $post;

}

    /**

     * 转义需要插入或者更新的字段值

     *

     * 在所有查询和更新的字段变量都需要调用此方法处理数据

     *

     * @param mixed $str 需要处理的变量

     * @return mixed 返回转义后的结果

     */

    public function escape($str) {

        if (is_array($str)) {

            foreach ($str as $key => $value) {

                $str[$key] = $this->escape($value);

            }

        } else {

            return addslashes($str);

        }

        return $str;

    }

使用实例:

public function _saveWithWhere($tableName, $row, $where, $sync = false) {

        // 生成要插入/更新的字段的SQL字符串

        $values = '';

        foreach ($row as $searchKey => $val) {

            $values .= "`{$searchKey}` = '{escape($val)}',";

        }

        $values = trim($values, ",");

        // 有itemId的话就UPDATE没有的话就INSERT

        if (trim($where)) {

            $sql = "UPDATE {$tableName} SET {$values} WHERE {$where} ";

        }else {

            $sql = "INSERT INTO {$tableName} SET {$values}";

        }

          $this->saveLog($sql);

        // lib_DB->update 只返回  boolean 当 insert 的时候需要获取 last_id 就不行

        return $this->_update($sql, $sync);

    }

其他重要:

1. http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

php 防止sql注入的更多相关文章

  1. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  2. Web安全相关(五):SQL注入(SQL Injection)

    简介 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据 ...

  3. 从c#角度看万能密码SQL注入漏洞

    以前学习渗透时,虽然也玩过万能密码SQL注入漏洞登陆网站后台,但仅仅会用,并不理解其原理. 今天学习c#数据库这一块,正好学到了这方面的知识,才明白原来是怎么回事. 众所周知的万能密码SQL注入漏洞, ...

  4. 浅谈SQL注入风险 - 一个Login拿下Server

    前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都 ...

  5. 揭开SQL注入的神秘面纱PPT分享

        SQL注入是一个老生常谈但又经常会出现的问题.该课程是我在公司内部培训的课程,现在分享出来,希望对大家有帮助.     点击这里下载.

  6. 深入理解SQL注入绕过WAF和过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

  7. jdbc java数据库连接 8)防止sql注入

    回顾下之前jdbc的开发步骤: 1:建项目,引入数据库驱动包 2:加载驱动 Class.forName(..); 3:获取连接对象 4:创建执行sql语句的stmt对象;  写sql 5:执行sql ...

  8. Entity Framework关于SQL注入安全问题

    1.EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2.EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL   参考: https: ...

  9. 关于SQL注入和如何防止

    之前在笔试的时候没有很好的答出这个问题,因此我要总结一下问题,以免日后继续在这个地方跌倒,以下是自己的理解,如有错误请指出 一.什么是SQL注入 SQL注入就是服务器在根据业务去处理数据库的时候,客户 ...

  10. Java防止SQL注入2(通过filter过滤器功能进行拦截)

    首先说明一点,这个过滤器拦截其实是不靠谱的,比如说我的一篇文章是介绍sql注入的,或者评论的内容是有关sql的,那会过滤掉:且如果每个页面都经过这个过滤器,那么效率也是非常低的. 如果是要SQL注入拦 ...

随机推荐

  1. MySQL Backup in Facebook

    本文将较为详细的介绍Facebook对于MySQL数据库的备份策略和方法 文章欢迎转载,但转载时请保留本段文字,并置于文章的顶部 作者:卢钧轶(cenalulu) 本文原文地址:http://cena ...

  2. Entity Framework只entity与DbContext的分离

    说明:以下例子采用的是DB first的模式 在之前的webform开发模式中我们习惯性性的会建立这样的一些类库:Model.DAL.BLL...但是在用了EF以后,我们创建的ADO.NET实体数据模 ...

  3. unity, polygon collider 2D 添加顶点

    正常情况下只要按下了Edit Collider按钮,鼠标停在polygon collider 2D的一条边上,就会出现一个虚拟的新顶点,此时如果按下鼠标,新顶点就创建出来了. 但是我今天遇到一个奇怪的 ...

  4. elasticsearch 集群配置

    2015-10-10 09:56 by 轩脉刃, 999 阅读, 1 评论, 收藏, 编辑 elasticsearch 集群 搭建elasticsearch的集群 现在假设我们有3台es机器,想要把他 ...

  5. 【redis】 linux 下redis 集群环境搭建

    Redis集群 (要让集群正常工作至少需要3个主节点,在这里我们要创建6个redis节点,其中三个为主节点,三个为从节点,对应的redis节点的ip和端口对应关系如下) 127.0.0.1:63791 ...

  6. maven本地仓库

    引入某一个站点的jar包 <repositories> <repository> <id>maven.seasar.org</id> <name& ...

  7. Hibernate入门学习(一)

    一.Hibernate是什么 Hibernate主要用来实现Java对象和数据表之间的映射,除此之外还提供数据查询和获取数据的方法,可以大幅度减少开发时人工使用SQL和JDBC处理数据的时间.Hibe ...

  8. Add 4 multipath LUNs into RHEL

    1. SSH to oracle-node1 and run the following commands: # echo "- - -" > /sys/class/scsi ...

  9. 如何在VBA窗体中使用 DataGrid 控件?

    1.下载MSDATGRD.cab,下载路径如下:http://www.findthatzipfile.com/search-10500733-hZIP/winrar-winzip-download-m ...

  10. CGI技术原理

    一.CGI技术 1.1 CGI的提出 CGI是外部扩展应用程序与WWW服务器交互的一个标准接口.按照CGI标准编写的外部扩展应用程序可以处理客户端(一般是WWW浏览器)输入的协同工作数据,完成客户端与 ...