php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击


Posted in PHP onDecember 23, 2016

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法:

  1. 使用mysql_real_escape_string函数
  2. 使用addslashes函数
  3. 使用mysql bind_param()

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:

$name=$_GET['name'];
$name=mysql_real_escape_string($name);
$sql="select *from table where name like '%$name%'";

当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时,sql语句输出为:

SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
 {
 $value = stripslashes($value);
 }
// 如果不是数字则加引号
/* http://www.manongjc.com/article/1242.html */
if (!is_numeric($value))
 {
 $value = "'" . mysql_real_escape_string($value) . "'";
 }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
 die('Could not connect: ' . mysql_error());
 }

// 进行安全的 SQL
mysql_set_charset('utf-8');
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。

addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

echo addcslashes('foo[ ]','a..z'); //输出:foo[ ] 
$str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符 
echo addslashes($str); //输出经过转义的字符串

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数,给大家举个例子:

<?php  
$username = "aaa";  
$pwd = "pwd";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
echo $sql;  
?>

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

<?php  
/**  
 * 模拟简单的绑定参数过程  
 *  
 * @param string $sql  SQL语句  
 * @param int $location 问号位置  
 * @param mixed $var   替换的变量  
 * @param string $type  替换的类型  
 */ 
$times = 0;  
//这里要注意,因为要“真正的"改变$sql的值,所以用引用传值 
function bindParam(&$sql, $location, $var, $type) {  
  global $times;  
  //确定类型  
  switch ($type) {  
    //字符串  
    default:          //默认使用字符串类型  
    case 'STRING' :  
      $var = addslashes($var); //转义  
      $var = "'".$var."'";   //加上单引号.SQL语句中字符串插入必须加单引号  
      break;  
    case 'INTEGER' :  
    case 'INT' :  
      $var = (int)$var;     //强制转换成int  
    //还可以增加更多类型..  
  }  
  //寻找问号的位置  
  for ($i=1, $pos = 0; $i<= $location; $i++) {  
    $pos = strpos($sql, '?', $pos+1);  
  }  
  //替换问号  
  $sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);  
}  
?>

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

<?php  
$times = 0;  
$username = "aaaa";  
$pwd = "123";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
bindParam($sql, 2, $pwd, 'INT');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
echo $sql; //输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123  
?>

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

<?php  
$times = 0;  
$username = "aaa";  
$pwd = "fdsafda' or '1'='1";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'  
?>

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

 总结:

上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

PHP 相关文章推荐
如何获得PHP相关资料
Oct 09 PHP
Mysql的常用命令
Oct 09 PHP
PHP5中Cookie与 Session使用详解
Apr 30 PHP
如何在PHP中使用正则表达式进行查找替换
Jun 13 PHP
php获取$_POST同名参数数组的实现介绍
Jun 30 PHP
解析php根据ip查询所在地区(非常有用,赶集网就用到)
Jul 01 PHP
PHP+Memcache实现wordpress访问总数统计(非插件)
Jul 04 PHP
浅谈PHP中单引号和双引号到底有啥区别呢?
Mar 04 PHP
php计算到指定日期还有多少天的方法
Apr 14 PHP
深入解析PHP的Yii框架中的event事件机制
Mar 17 PHP
PHP数组去重的更快实现方式分析
May 09 PHP
php自定义排序uasort函数示例【二维数组按指定键值排序】
Jun 19 PHP
php的4种常用运行方式详解
Dec 22 #PHP
php curl 模拟登录并获取数据实例详解
Dec 22 #PHP
使用PHP连接多种数据库的实现代码(mysql,access,sqlserver,Oracle)
Dec 21 #PHP
Docker配置PHP开发环境教程
Dec 21 #PHP
PHP符合PSR编程规范的实例分享
Dec 21 #PHP
利用PHP生成CSV文件简单示例
Dec 21 #PHP
PHP实现支付宝即时到账功能
Dec 21 #PHP
You might like
从零开始学YII2框架(二)通过 Composer 安装扩展插件
2014/08/20 PHP
php使用PDO操作MySQL数据库实例
2014/12/30 PHP
php-fpm服务启动脚本的方法
2018/04/27 PHP
setAttribute 与 class冲突解决
2008/02/17 Javascript
JavaScript 学习笔记(十三)Dom创建表格
2010/01/21 Javascript
JavaScript 类似flash效果的立体图片浏览器
2010/02/08 Javascript
JQuery 获得绝对,相对位置的坐标方法
2010/02/09 Javascript
href下载文件根据id取url并下载
2014/05/28 Javascript
jquery实现仿新浪微博评论滚动效果
2015/08/06 Javascript
javascript简单判断输入内容是否合法的方法
2016/05/11 Javascript
vue插件tab选项卡使用小结
2016/10/27 Javascript
微信小程序 wx.request(接口调用方式)详解及实例
2016/11/23 Javascript
Vue中的ref作用详解(实现DOM的联动操作)
2017/08/21 Javascript
JavaScript 保护变量不被随意修改的实现代码
2017/09/27 Javascript
AngularJS的$location使用方法详解
2017/10/19 Javascript
node puppeteer(headless chrome)实现网站登录
2018/05/09 Javascript
浅谈Vue中render中的h箭头函数
2019/11/07 Javascript
vue中实现点击空白区域关闭弹窗的两种方法
2020/12/30 Vue.js
[00:32]2018DOTA2亚洲邀请赛出场——LGD
2018/04/04 DOTA
[02:31]2018年度DOTA2最具人气选手-完美盛典
2018/12/16 DOTA
[00:20]TI9观赛名额抽取Ⅱ
2019/07/24 DOTA
Python的Django REST框架中的序列化及请求和返回
2016/04/11 Python
Python基础教程之内置函数locals()和globals()用法分析
2018/03/16 Python
在Python函数中输入任意数量参数的实例
2019/07/16 Python
Python生态圈图像格式转换问题(推荐)
2019/12/02 Python
tensorflow实现残差网络方式(mnist数据集)
2020/05/26 Python
Python 解析库json及jsonpath pickle的实现
2020/08/17 Python
python画图时设置分辨率和画布大小的实现(plt.figure())
2021/01/08 Python
美国折扣宠物药房:Total Pet Supply
2018/05/27 全球购物
工商管理专业实习生自我鉴定
2013/09/29 职场文书
大学军训感言
2014/01/10 职场文书
小学英语教学反思案例
2014/02/04 职场文书
安全生产活动月方案
2014/03/09 职场文书
团队队名口号大全
2014/06/06 职场文书
罚站检讨书
2015/01/29 职场文书
考教师资格证不要错过的4个最佳时机
2019/07/17 职场文书