RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:8:30-17:00
你可能遇到了下面的问题
关闭右侧工具栏

新闻中心

这里有您想知道的互联网营销解决方案
php数据库注入解决方案 phpsql注入源代码

我怎样才能防止在PHP的SQL注入

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:

公司主营业务:成都做网站、成都网站制作、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。创新互联建站是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联建站推出徐水免费做网站回馈大家。

复制代码 代码如下:

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成:

复制代码 代码如下:

INSERT INTO table (column) VALUES('VALUE'); DROP TABLE table;

我们应该怎么防止这种情况呢?下面我们来看看Theo的回答

使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器,并被解析!对于攻击者想要恶意注入sql是不可能的!

实现这一目标基本上有两种选择:

1.使用PDO(PHP Data Objects )

复制代码 代码如下:

$stmt = $pdo-prepare('SELECT * FROM employees WHERE name = :name');

$stmt-execute(array(':name' = $name));

foreach ($stmt as $row) {

// do something with $row

}

2.使用mysqli

复制代码 代码如下:

$stmt = $dbConnection-prepare('SELECT * FROM employees WHERE name = ?');

$stmt-bind_param('s', $name);

$stmt-execute();

$result = $stmt-get_result();

while ($row = $result-fetch_assoc()) {

// do something with $row

}

PDO(PHP数据对象)

注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的!为了解决这个问题,你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下:

复制代码 代码如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbConnection-setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection-setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面例子中错误模式ERRMODE不是严格必须的,但是建议添加它。当运行出错产生致命错误时,这种方法脚本不会停止。并给开发人员捕捉任何错误的机会(当抛出PDOException异常时)。

setAttribute()那一行是强制性的,它告诉PDO禁用仿真预备义语句,使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL).

当然你可以在构造函数选项中设置字符集参数,特别注意'老'的PHP版本(5.3.6)会在DSN中忽略掉字符集参数。

Explanation(解释)

在你传递的sql预备义语句 被数据库服务器解析和编译会发生什么?通过指定的字符(在上面例子中像a?或者像:name)告诉数据库引擎你想要过滤什么.然后调用execute执行结合好的预备义语句和你指定的参数值.

这里最重要的是,该参数值是和预编译的语句结合的,而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此,通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时,你发送的任何参数,将只被视为字符串(虽然数据库引擎可能会做一些参数的优化,当然最终可能会为数字).在上面的例子中,如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。

使用准备好的语句的另一个好处是,如果你在同一会话中多次执行相同的语句,这将只被解析和编译一次,给你一些的速度增长。

哦,既然你问如何进行插入,这里是一个例子(使用PDO):

复制代码 代码如下:

$preparedStatement = $db-prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement-execute(array(':column' = $unsafeValue));

PHP网站怎么sql注入?有没有破解防御的方法?

网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,防止自己的网站被sql注入。

如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起:

Php注入的安全防范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的防范方法:

首先是对服务器的安全设置,这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval()将其转换成整数类型,如代码:

$id=intval($id);

mysql_query=”select *from example where articieid=’$id’”;或者这样写:mysql_query(”SELECT * FROM article WHERE articleid=”.intval($id).”")

如果是字符型就用addslashes()过滤一下,然后再过滤”%”和”_”如:

$search=addslashes($search);

$search=str_replace(“_”,”\_”,$search);

$search=str_replace(“%”,”\%”,$search);

当然也可以加php通用防注入代码:

/*************************

PHP通用防注入安全代码

说明:

判断传递的变量中是否含有非法字符

如$_POST、$_GET

功能:

防注入

**************************/

//要过滤的非法字符

$ArrFiltrate=array(”‘”,”;”,”union”);

//出错后要跳转的url,不填则默认前一页

$StrGoUrl=”";

//是否存在数组中的值

function FunStringExist($StrFiltrate,$ArrFiltrate){

foreach ($ArrFiltrate as $key=$value){

if (eregi($value,$StrFiltrate)){

return true;

}

}

return false;

}

//合并$_POST 和 $_GET

if(function_exists(array_merge)){

$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{

foreach($HTTP_POST_VARS as $key=$value){

$ArrPostAndGet[]=$value;

}

foreach($HTTP_GET_VARS as $key=$value){

$ArrPostAndGet[]=$value;

}

}

//验证开始

foreach($ArrPostAndGet as $key=$value){

if (FunStringExist($value,$ArrFiltrate)){

echo “alert(/”Neeao提示,非法字符/”);”;

if (empty($StrGoUrl)){

echo “history.go(-1);”;

}else{

echo “window.location=/”".$StrGoUrl.”/”;”;

}

exit;

}

}

?

/*************************

保存为checkpostandget.php

然后在每个php文件前加include(“checkpostandget.php“);即可

**************************/

另外将管理员用户名和密码都采取md5加密,这样就能有效地防止了php的注入。

还有服务器和mysql也要加强一些安全防范。

对于linux服务器的安全设置:

加密口令,使用“/usr/sbin/authconfig”工具打开密码的shadow功能,对password进行加密。

禁止访问重要文件,进入linux命令界面,在提示符下输入:

#chmod 600 /etc/inetd.conf //改变文件属性为600

#chattr +I /etc/inetd.conf //保证文件属主为root

#chattr –I /etc/inetd.conf // 对该文件的改变做限制

禁止任何用户通过su命令改变为root用户

在su配置文件即/etc/pam.d/目录下的开头添加下面两行:

Auth sufficient /lib/security/pam_rootok.so debug

Auth required /lib/security/pam_whell.so group=wheel

删除所有的特殊帐户

#userdel lp等等 删除用户

#groupdel lp等等 删除组

禁止不使用的suid/sgid程序

#find / -type f \(-perm -04000 - o –perm -02000 \) \-execls –lg {} \;

请教PHP网站SQL注入防御问题

把你的sql语句找出来,然后找到select

id

from

table

where

a='*';这样的语句;

这样的语句就是有注入可能的地方,有二种解决方案:

1、写存储过程,所有条件以参数形式传递,这个可以有效的防范注入;

2、sprintf("select

id

from

table

where

a=%s",a);这个也行,就是将注入条件都当成字符处理来防范注入攻击。


网页标题:php数据库注入解决方案 phpsql注入源代码
URL网址:http://lswzjz.com/article/dodieed.html