SQL injection問題在ASP上可是鬧得沸沸揚(yáng)揚(yáng) 當(dāng)然還有不少國內(nèi)外著名的php程序"遇難"��。至于SQL injection的詳情�,網(wǎng)上的文章太多了����,在此就不作介紹�。如果你網(wǎng)站空間的php.ini文件里的magic_quotes_gpc設(shè)成了off��,那么PHP就不會在敏感字符前加上反斜杠(\)����,由于表單提交的內(nèi)容可能含有敏感字符����,如單引號("),就導(dǎo)致了SQL injection的漏洞���。在這種情況下����,我們可以用addslashes()來解決問題����,它會自動在敏感字符前添加反斜杠��。
但是��,上面的方法只適用于magic_quotes_gpc=Off的情況。作為一個開發(fā)者�,你不知道每個用戶的magic_quotes_gpc是On 還是Off���,如果把全部的數(shù)據(jù)都用上addslashes(),那不是"濫殺無辜"了��?假如magic_quotes_gpc=On,并且又用了 addslashes()函數(shù)�,那讓我們來看看:
罪惡之源:用戶提交過來的數(shù)據(jù)是可靠的����。
用戶可以偽造表單和URL提交他想提交的任何數(shù)據(jù),如果你把他提交過來的數(shù)據(jù)變量直接聯(lián)入sql語句就會造成注入,一般性的防范措施是:
所有sql語句必須用單引號�����,因?yàn)閱我杻?nèi)的字符串只有兩個特殊,它自己和轉(zhuǎn)義符�����,只要搞定這兩個就ok了�����,而addslashes完全勝任,php.ini里magic_quotes_gpc默認(rèn)是off的,有的是on的�����,這就需要在使用addslashes之前ini_get一下看這個設(shè)置是on還是off然后再決定是否用,mysql的sql語句的組成中一般只有整形和字符型,整形加上引號也不會出錯���,如果嫌麻煩就全加上引號�,更安全一點(diǎn)就是inval()轉(zhuǎn)化成整形�����。這樣處理基本就沒問題了���,至于是否允許提交html代碼看你要求了�����,不允許的話就用函數(shù)去掉<>
更安全一點(diǎn)的遍歷post,get,cookie,對他們的長度進(jìn)行控制�����,addslashes����,去除html(或轉(zhuǎn)化成&),圖片驗(yàn)證碼����,表單的http refferring�����、session_id判斷,更高級的是表單過期判斷(一般用某個常量和時間算出的hash,提交的時候再驗(yàn)證這個hash)���。
隨著$_POST類變量的普及使用,php的安全性得到了很大提高�����,再注意一下單引號和addslashes����,基本就是固若金湯了
CODE:<?php
//如果從表單提交一個變量$_POST["message"]�����,內(nèi)容為 Tom"s book
//這此加入連接MySQL數(shù)據(jù)庫的代碼���,自己寫吧
//在$_POST["message"]的敏感字符前加上反斜杠
$_POST["message"] = addslashes($_POST["message"]);
//由于magic_quotes_gpc=On�,所以又一次在敏感字符前加反斜杠
$sql = "INSERT INTO msg_table VALUE("$_POST[message]");";
//發(fā)送請求,把內(nèi)容保存到數(shù)據(jù)庫內(nèi)
$query = mysql_query($sql);
//如果你再從數(shù)據(jù)庫內(nèi)提取這個記錄并輸出����,就會看到 Tom\"s book
?>
這樣的話�,在magic_quotes_gpc=On的環(huán)境里�,所有輸入的單引號(")都會變成(\")…….其實(shí)我們可以用get_magic_quotes_gpc()函數(shù)輕易地解決這個問題��。當(dāng)magic_quotes_gpc=On時��,該函數(shù)返回 TRUE�����;當(dāng)magic_quotes_gpc=Off時��,返回FALSE。至此���,肯定已經(jīng)有不少人意識到:問題已經(jīng)解決。請看代碼:
CODE:<?php
//如果magic_quotes_gpc=Off����,那就為提單提交的$_POST["message"]里的敏感字符加反斜杠
//magic_quotes_gpc=On的情況下,則不加
if (!get_magic_quotes_gpc()) {
$_POST["message"] = addslashes($_POST["message"]);
} else {}
?>
其實(shí)說到這里,問題已經(jīng)解決��。下面再說一個小技巧。
有時表單提交的變量不止一個��,可能有十幾個���,幾十個。那么一次一次地復(fù)制/粘帖addslashes()���,是否麻煩了一點(diǎn)�?由于從表單或URL獲取的數(shù)據(jù)都是以數(shù)組形式出現(xiàn)的�,如$_POST���、$_GET) 那就自定義一個可以"橫掃千軍"的函數(shù):
CODE:<?php
function quotes($content)
{
//如果magic_quotes_gpc=Off�,那么就開始處理
if (!get_magic_quotes_gpc()) {
//判斷$content是否為數(shù)組
if (is_array($content)) {
//如果$content是數(shù)組���,那么就處理它的每一個單無
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是數(shù)組,那么就僅處理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On�����,那么就不處理
}
//返回$content
return $content;
}
?>
關(guān)鍵詞標(biāo)簽:PHP,防止SQL注入攻擊
plsql developer怎么連接數(shù)據(jù)庫-plsql deve
2021年最好用的10款php開發(fā)工具推薦
在 PHP 中使用命令行工具
php應(yīng)用程序安全防范技術(shù)研究