PHP代码网站如何防范SQL注入漏洞攻击建议分享


Posted in PHP onMarch 01, 2012

黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。做为网络开发者的你对这种黑客行为恨之入骨,当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库。今天就通过PHP和MySQL数据库为例,分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议。
什么是SQL注入(SQL Injection)?
简单来说,SQL注入是使用代码漏洞来获取网站或应用程序后台的SQL数据库中的数据,进而可以取得数据库的访问权限。比如,黑客可以利用网站代码的漏洞,使用SQL注入的方式取得一个公司网站后台数据库里所有的数据信息。拿到数据库管理员登录用户名和密码后黑客可以自由修改数据库中的内容甚至删除该数据库。SQL注入也可以用来检验一个网站或应用的安全性。SQL注入的方式有很多种,但本文将只讨论最基本的原理,我们将以PHP和MySQL为例。本文的例子很简单,如果你使用其它语言理解起来也不会有难度,重点关注SQL命令即可。
一个简单的SQL注入攻击案例
假如我们有一个公司网站,在网站的后台数据库中保存了所有的客户数据等重要信息。假如网站登录页面的代码中有这样一条命令来读取用户信息。

<? 
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .$_GET['username']. " ' AND `password`= ' " .$_GET['password']. " ' "; 
?>

现在有一个黑客想攻击你的数据库,他会尝试在此登录页面的用户名的输入框中输入以下代码:
' ; SHOW TABLES;
点击登陆键,这个页面就会显示出数据库中的所有表。如果他现在使用下面这行命令:
'; DROP TABLE [table name];
这样他就把一张表删除了!
当然,这只是一个很简单的例子,实际的SQL注入方法比这个要复杂得多,黑客也愿意花大量的时间来不断尝试来攻击你的代码。有一些程序软件也可以自动地来不断尝试SQL注入攻击。了解了SQL注入的攻击原理后,我们来看一下如何防范SQL注入攻击。
防范SQL注入 - 使用mysql_real_escape_string()函数
在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉,如引号等。如下例:
<? 
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' "; 
?>

防范SQL注入 - 使用mysql_query()函数
mysql_query()的特别是它将只执行SQL代码的第一条,而后面的并不会执行。回想在最前面的例子中,黑客通过代码来例后台执行了多条SQL命令,显示出了所有表的名称。所以mysql_query()函数可以取到进一步保护的作用。我们进一步演化刚才的代码就得到了下面的代码:
<? 
//connection 
$database = mysql_connect("localhost", "username","password"); 
//db selection 
mysql_select_db("database", $database); 
$q = mysql_query("SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ", $database); 
?>

除此之外,我们还可以在PHP代码中判断输入值的长度,或者专门用一个函数来检查输入的值。所以在接受用户输入值的地方一定要做好输入内容的过滤和检查。当然学习和了解最新的SQL注入方式也非常重要,这样才能做到有目的的防范。如果使用的是平台式的网站系统如Wordpress,要注意及时打上官方的补丁或升级到新的版本。如果有讲得不对的地方或不理解的请在评论区留言。
PHP 相关文章推荐
PHP5 安装方法
Jan 15 PHP
PHP 定界符 使用技巧
Jun 14 PHP
PHP 页面编码声明方法详解(header或meta)
Mar 12 PHP
PHP 验证码不显示只有一个小红叉的解决方法
Sep 30 PHP
php中并发读写文件冲突的解决方案
Oct 25 PHP
8个必备的PHP功能实例代码
Oct 27 PHP
PHP中的类型约束介绍
May 11 PHP
php curl抓取网页的介绍和推广及使用CURL抓取淘宝页面集成方法
Nov 30 PHP
PHP查询大量数据内存耗尽问题的解决方法
Oct 28 PHP
laravel 5.1下php artisan migrate的使用注意事项总结
Jun 07 PHP
PHP开发中解决并发问题的几种实现方法分析
Nov 13 PHP
YII2 全局异常处理深入讲解
Mar 24 PHP
PHP和JAVA中的重载(overload)和覆盖(override) 介绍
Mar 01 #PHP
JS中encodeURIComponent函数用php解码的代码
Mar 01 #PHP
PHP设计模式之装饰者模式
Feb 29 #PHP
php preg_filter执行一个正则表达式搜索和替换
Feb 27 #PHP
mysql总结之explain
Feb 27 #PHP
php&amp;mysql 日期操作小记
Feb 27 #PHP
MySQL时间字段究竟使用INT还是DateTime的说明
Feb 27 #PHP
You might like
php 字符过滤类,用于过滤各类用户输入的数据
2009/05/27 PHP
解析PHP中ob_start()函数的用法
2013/06/24 PHP
Javascript 键盘keyCode键码值表
2009/12/24 Javascript
js给onclick赋值传参数的两种方法
2013/11/25 Javascript
jquery 中的each()跳出循环的语句
2014/05/23 Javascript
jquery操作复选框checkbox的方法汇总
2015/02/05 Javascript
使用javascript将时间转换成今天,昨天,前天等格式
2015/06/25 Javascript
jQuery的bind()方法使用详解
2015/07/15 Javascript
谈谈javascript中使用连等赋值操作带来的问题
2015/11/26 Javascript
js仿淘宝和百度文库的评分功能
2016/05/15 Javascript
js中获取 table节点各tr及td的内容简单实例
2016/10/14 Javascript
vue.js2.0点击获取自己的属性和jquery方法
2018/02/23 jQuery
ng-alain表单使用方式详解
2018/07/10 Javascript
JS+HTML实现的圆形可点击区域示例【3种方法】
2018/08/01 Javascript
详解小程序之简单登录注册表单验证
2019/05/13 Javascript
vue仿ios列表左划删除
2019/09/26 Javascript
Python虚拟环境项目实例
2017/11/20 Python
python与字符编码问题
2019/05/24 Python
Django之提交表单与前后端交互的方法
2019/07/19 Python
使用python分析统计自己微信朋友的信息
2019/07/19 Python
Pytorch实现基于CharRNN的文本分类与生成示例
2020/01/08 Python
解决pycharm导入numpy包的和使用时报错:RuntimeError: The current Numpy installation (‘D:\\python3.6\\lib\\site-packa的问题
2020/12/08 Python
Python中生成ndarray实例讲解
2021/02/22 Python
CSS3实现圆角、阴影、透明效果并兼容各大浏览器
2014/08/08 HTML / CSS
CSS3 box-sizing属性详解
2016/11/15 HTML / CSS
Elizabeth Gage官网:英国最好的珠宝设计之一
2020/09/26 全球购物
.NET remoting的两种通道是什么
2016/05/31 面试题
元旦晚会感言
2014/03/12 职场文书
灰雀教学反思
2014/04/28 职场文书
奥巴马连任演讲稿
2014/05/15 职场文书
聋哑人盗窃罪辩护词
2015/05/21 职场文书
2016年大学生实习单位评语
2015/12/01 职场文书
深入理解Vue的数据响应式
2021/05/15 Vue.js
python 提取html文本的方法
2021/05/20 Python
pandas提升计算效率的一些方法汇总
2021/05/30 Python
一次线上mongo慢查询问题排查处理记录
2022/03/18 MongoDB