php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

5年以前  |  阅读数:1040 次  |  编程语言:PHP 

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法:

  1. 使用mysql_real_escape_string函数
  2. 使用addslashes函数
  3. 使用mysql bind_param()

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:


    $name=$_GET['name'];
    $name=mysql_real_escape_string($name);
    $sql="select *from table where name like '%$name%'";

当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时,sql语句输出为:


    SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:


    <?php
    function check_input($value)
    {
    // 去除斜杠
    if (get_magic_quotes_gpc())
     {
     $value = stripslashes($value);
     }
    // 如果不是数字则加引号
    /* http://www.manongjc.com/article/1242.html */
    if (!is_numeric($value))
     {
     $value = "'" . mysql_real_escape_string($value) . "'";
     }
    return $value;
    }

    $con = mysql_connect("localhost", "hello", "321");
    if (!$con)
     {
     die('Could not connect: ' . mysql_error());
     }

    // 进行安全的 SQL
    mysql_set_charset('utf-8');
    $user = check_input($_POST['user']);
    $pwd = check_input($_POST['pwd']);
    $sql = "SELECT * FROM users WHERE
    user=$user AND password=$pwd";

    mysql_query($sql);

    mysql_close($con);
    ?>


addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。

addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:


    echo addcslashes('foo[ ]','a..z'); //输出:foo[ ] 
    $str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符 
    echo addslashes($str); //输出经过转义的字符串

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数,给大家举个例子:


    <?php  
    $username = "aaa";  
    $pwd = "pwd";  
    $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
    bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
    bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
    echo $sql;  
    ?>

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:


    <?php  
    /**  
     * 模拟简单的绑定参数过程  
     *  
     * @param string $sql  SQL语句  
     * @param int $location 问号位置  
     * @param mixed $var   替换的变量  
     * @param string $type  替换的类型  
     */ 
    $times = 0;  
    //这里要注意,因为要"真正的"改变$sql的值,所以用引用传值 
    function bindParam(&$sql, $location, $var, $type) {  
      global $times;  
      //确定类型  
      switch ($type) {  
        //字符串  
        default:          //默认使用字符串类型  
        case 'STRING' :  
          $var = addslashes($var); //转义  
          $var = "'".$var."'";   //加上单引号.SQL语句中字符串插入必须加单引号  
          break;  
        case 'INTEGER' :  
        case 'INT' :  
          $var = (int)$var;     //强制转换成int  
        //还可以增加更多类型..  
      }  
      //寻找问号的位置  
      for ($i=1, $pos = 0; $i<= $location; $i++) {  
        $pos = strpos($sql, '?', $pos+1);  
      }  
      //替换问号  
      $sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);  
    }  
    ?>

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:


    <?php  
    $times = 0;  
    $username = "aaaa";  
    $pwd = "123";  
    $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
    bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
    bindParam($sql, 2, $pwd, 'INT');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
    echo $sql; //输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123  
    ?>

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况


    <?php  
    $times = 0;  
    $username = "aaa";  
    $pwd = "fdsafda' or '1'='1";  
    $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
    bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
    bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
    echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'  
    ?>  

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

总结:

上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

 相关文章:
PHP分页显示制作详细讲解
SSH 登录失败:Host key verification failed
获取IMSI
将二进制数据转为16进制以便显示
获取IMEI
文件下载
贪吃蛇
双位运算符
PHP自定义函数获取搜索引擎来源关键字的方法
Java生成UUID
发送邮件
年的日历图
提取后缀名
在Zeus Web Server中安装PHP语言支持
让你成为最历害的git提交人
Yii2汉字转拼音类的实例代码
再谈PHP中单双引号的区别详解
指定应用ID以获取对应的应用名称
Python 2与Python 3版本和编码的对比
php封装的page分页类完整实例