Q:如果把用户输入的没有任何改动的放到SQL的查询语句中,很有可能会导致SQL注入,比如说下面的例子:

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

为什么会有注入漏洞呢?因为用户可以输入value'); DROP TABLE table;-- 然后查询语句就变成了这样

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

A:通过使用预编译语句(prepared statements)和参数化查询(parameterized queries)。

有两种方式去完成这个:

1. 使用PDO对象(对于任何数据库驱动都好用)

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

$stmt->execute(array('name' => $name));
2. 使用MySqli

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

$stmt->execute();

================

通常有一下几种方法:

(1)输入验证和过滤
(2)预处理Sql语句
(3)采用存储过程
(4)输入白名单
(5)一般的简单过滤,直接用php的addslashes函数即可。

全面防注入:

function inject_check($sql_str) {

 return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);  // 进行过滤

}

function verify_id($id=null) {

 if (!$id) { exit('没有提交参数!'); }  // 是否为空判断

 elseif (inject_check($id)) { exit('提交的参数非法!'); }  // 注射判断

 elseif (!is_numeric($id)) { exit('提交的参数非法!'); }  // 数字判断

 $id = intval($id);  // 整型化

 return $id;

}

function str_check( $str ) {

 if (!get_magic_quotes_gpc()) {  // 判断magic_quotes_gpc是否打开

  $str = addslashes($str);  // 进行过滤

 }

 $str = str_replace("_", "\_", $str);  // 把 '_'过滤掉

 $str = str_replace("%", "\%", $str);  // 把 '%'过滤掉

 return $str;

}

function post_check($post) {

 if (!get_magic_quotes_gpc()) {  // 判断magic_quotes_gpc是否为打开

  $post = addslashes($post);  // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤

 }

 $post = str_replace("_", "\_", $post);  // 把 '_'过滤掉

 $post = str_replace("%", "\%", $post);  // 把 '%'过滤掉

 $post = nl2br($post);  // 回车转换

 $post = htmlspecialchars($post);  // html标记转换

 return $post;

}

    /**

     * 转义需要插入或者更新的字段值

     *

     * 在所有查询和更新的字段变量都需要调用此方法处理数据

     *

     * @param mixed $str 需要处理的变量

     * @return mixed 返回转义后的结果

     */

    public function escape($str) {

        if (is_array($str)) {

            foreach ($str as $key => $value) {

                $str[$key] = $this->escape($value);

            }

        } else {

            return addslashes($str);

        }

        return $str;

    }

使用实例:

public function _saveWithWhere($tableName, $row, $where, $sync = false) {

        // 生成要插入/更新的字段的SQL字符串

        $values = '';

        foreach ($row as $searchKey => $val) {

            $values .= "`{$searchKey}` = '{escape($val)}',";

        }

        $values = trim($values, ",");

        // 有itemId的话就UPDATE没有的话就INSERT

        if (trim($where)) {

            $sql = "UPDATE {$tableName} SET {$values} WHERE {$where} ";

        }else {

            $sql = "INSERT INTO {$tableName} SET {$values}";

        }

          $this->saveLog($sql);

        // lib_DB->update 只返回  boolean 当 insert 的时候需要获取 last_id 就不行

        return $this->_update($sql, $sync);

    }

其他重要:

1. http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

php 防止sql注入的更多相关文章

  1. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  2. Web安全相关(五):SQL注入(SQL Injection)

    简介 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据 ...

  3. 从c#角度看万能密码SQL注入漏洞

    以前学习渗透时,虽然也玩过万能密码SQL注入漏洞登陆网站后台,但仅仅会用,并不理解其原理. 今天学习c#数据库这一块,正好学到了这方面的知识,才明白原来是怎么回事. 众所周知的万能密码SQL注入漏洞, ...

  4. 浅谈SQL注入风险 - 一个Login拿下Server

    前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都 ...

  5. 揭开SQL注入的神秘面纱PPT分享

        SQL注入是一个老生常谈但又经常会出现的问题.该课程是我在公司内部培训的课程,现在分享出来,希望对大家有帮助.     点击这里下载.

  6. 深入理解SQL注入绕过WAF和过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

  7. jdbc java数据库连接 8)防止sql注入

    回顾下之前jdbc的开发步骤: 1:建项目,引入数据库驱动包 2:加载驱动 Class.forName(..); 3:获取连接对象 4:创建执行sql语句的stmt对象;  写sql 5:执行sql ...

  8. Entity Framework关于SQL注入安全问题

    1.EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2.EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL   参考: https: ...

  9. 关于SQL注入和如何防止

    之前在笔试的时候没有很好的答出这个问题,因此我要总结一下问题,以免日后继续在这个地方跌倒,以下是自己的理解,如有错误请指出 一.什么是SQL注入 SQL注入就是服务器在根据业务去处理数据库的时候,客户 ...

  10. Java防止SQL注入2(通过filter过滤器功能进行拦截)

    首先说明一点,这个过滤器拦截其实是不靠谱的,比如说我的一篇文章是介绍sql注入的,或者评论的内容是有关sql的,那会过滤掉:且如果每个页面都经过这个过滤器,那么效率也是非常低的. 如果是要SQL注入拦 ...

随机推荐

  1. lua堆栈操作常用函数学习二

    /* ** basic stack manipulation */ LUA_API int  <strong> (lua_gettop) (lua_State *L);  </str ...

  2. 套接字I/O模型-select

    共有6种类型套接字I/O模型.blocking(阻塞),select(选择),WSAAsyncSelect(异步选择),WSAEventSelect(事件选择),overlapped(重叠),comp ...

  3. eclipse启动不了,让查看.metadata/.log

    方法一: 下面是workspace E:\kuaipan\work\J2EE_workspace\.metadata\.plugins\org.eclipse.core.resources\.proj ...

  4. Unity3D研究院之Editor下监听Transform变化

    美术有可以直接在Editor下操作Transform,我想去修正他们编辑的数值,所以我就得监听Transform.       C#   1 2 3 4 5 6 7 8 9 10 11 12 13 1 ...

  5. python三种数据库连接池方式

    psycopg2.pool – Connections pooling Creating new PostgreSQL connections can be an expensive operatio ...

  6. SVG中的'defs' and 'use'-可复用的图元定义

    在下一个示例中,我使用了defs中的元素之前,定义了如何去展现图元. <?xml version="1.0" standalone="no"?> & ...

  7. linux工具类之硬盘检测

    软raidmount /dev/md0 /opt                [root@localhost root]# cp /usr/share/doc/raidtools-1.00.3/ra ...

  8. 转 关于ruby gem无法连接到rubygems.org的解决方案

    为什么有这个? 由于国内网络原因(你懂的),导致 rubygems.org 存放在 Amazon S3 上面的资源文件间歇性连接失败.所以你会与遇到 gem install rack 或 bundle ...

  9. 【转】PHP error_reporting() 错误控制函数功能详解

    定义和用法: error_reporting() 设置 PHP 的报错级别并返回当前级别.   函数语法: error_reporting(report_level)   如果参数 level 未指定 ...

  10. js中冒泡事件和捕获事件

    js中冒泡事件和捕获事件: 冒泡事件:冒泡事件是从里向外,即是从被绑定元素开始一直向外到达页面的所有祖先元素都会被触发,这 一过程被称为事件冒泡.这个事件从原始元素开始一直冒泡到DOM树的最上层 捕获 ...