防止MySQL注入或HTML表单滥用的PHP程序


Posted in PHP onJanuary 21, 2009

MySQL注入的意图是接管网站数据库并窃取信息。常见的开源数据库,如MySQL,已经被许多网站开发人员用来储存重要信息,如密码,个人信息和管理信息。
MySQL之所以流行,是因为它与最流行的服务器端脚本语言PHP一起使用。而且,PHP是主导互联网的Linux- Apache服务器的主要语言。因此,这意味着黑客可以很容易地利用PHP就像Windows的间谍软件一样。
黑客向一个无担保的网页表单输入大量恶意代码(通过下拉菜单,搜索框,联系表单,查询表单和复选框)。
恶意代码将被送到MySQL数据库,然后“注入”。要查看这个过程,首先考虑以下基本的MySQL SELECT查询语句:
SELECT * FROM xmen WHERE username = ‘wolverine'
此查询会向有“xmen”表的数据库要求返回某一段MySQL中用户名为“wolverine”的数据。
在Web表单中,用户将输入wolverine,然后这些数据将被传到MySQL查询。
如果输入无效,黑客还有其他方法控制数据库,如设置用户名:
‘ OR '‘='‘
你可能认为使用正常的PHP和MySQL句法执行输入是安全的,因为每当有人输入恶意代码,他们将会得到一个“无效的查询”的消息,但事实并非如此。黑客很聪明,且因为涉及数据库清理和重设管理权限,任何一个安全漏洞都不容易纠正。
两种对MySQL注入攻击的常见误解如下:
1.网管认为恶意注入可用防病毒软件或反间谍软件清理。事实是,这种类型的感染利用了MySQL数据库的弱点。它不能简单地被任何反间谍软件或防病毒程序删除。
2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。事实并非如此。这种类型的感染是由于有人将恶意代码输入到网站不受保护表单,然后访问数据库。MySQL注入可通过删除恶意脚本清除掉,而不是使用防病毒程序。
用户输入验证流程
备份一个清洁的数据库,并放置在服务器外。输出一套MySQL表并保存在桌面。
然后转到服务器,先暂时关闭表单输入。这意味着表单不能处理数据,网站被关闭了。
然后启动清理进程。首先,在您的服务器上,清理遗留的混乱的MySQL注入。更改所有的数据库,FTP和网站的密码。
在最坏的情况下,如果你清理迟了,你可以再次检查在您服务器上运行的隐藏程序。这些隐藏程序是黑客安装的木马。将其完全删除并更改所有FTP权限。扫描服务器上所有木马程序和恶意软件。
当您修改PHP脚本程序时,将处理表单数据。防止MySQL注入的一个好办法是:连用户数据也不信任。用户输入验证对于防止MySQL注入是相当重要的。
设计一个过滤器筛选出用户输入,以下是几点提示:
1.输入到表单的是数字。你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。
2.如果是Email地址。验证其是否由允许的字符组合构成,如“ @ ” ,A-Z,a-z或一些数字。
3.如果是人名或用户名。可以通过是否包含任何非法字符验证它,如and和*,是可用于SQL注入的恶意字符。
验证数字输入
下面的脚本验证了是否输入一个从0.001至无限大的有效数字。值得一提的是,在一个PHP程序中,甚至可以允许使用一定范围内的数字。使用此验证脚本可确保输入到表单的只是一个数字。
假设在程序中有三个数字变量;您需要将它们进行验证,我们将它们命名num1 , num2和num3:

//Validate numerical input 
if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001) 

{ 

} 

else 

{ 

} 

?>

And条件可被延长到能容纳超过三个数字。所以,如果你有10个,您将只需要扩展AND语句。
这可以用来验证一个只接受数字的表单,如合同数量,许可证号码,电话号码等。
验证文字和邮件地址的输入
以下可以用于验证诸如用户名,名字以及电子邮件地址的表单输入:
//Validate text input 
if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name'])) 

{ 

} 

else 

if ($empty==0) 

{ 

} 

else 

{ 

} 

?>

该验证脚本的一个优点是,它不接受空白输入。一些恶意用户还通过空白投入操纵数据库。使用上面的脚本,只验证一个文字变量, “ $name”。这意味着,如果有三个文字变量,你可以分别对每个变量设置一个验证脚本,以确保每一个变量都在进入数据库前通过了审查。
PHP 相关文章推荐
PHP4中session登录页面的应用
Jul 25 PHP
PHP 5.3新特性命名空间规则解析及高级功能
Mar 11 PHP
php echo 输出字符串函数详解
May 13 PHP
php UBB 解析实现代码
Nov 27 PHP
PHP 之Section与Cookie使用总结
Sep 14 PHP
php Xdebug的安装与使用详解
Jun 20 PHP
php单态设计模式(单例模式)实例
Nov 18 PHP
Zend Framework路由器用法实例详解
Dec 11 PHP
thinkPHP框架实现多表查询的方法
Jun 14 PHP
Laravel 不同生产环境服务器的判断实践
Oct 15 PHP
Laravel框架Eloquent ORM删除数据操作示例
Dec 03 PHP
详细分析PHP7与PHP5区别
Jun 26 PHP
php 动态多文件上传
Jan 18 #PHP
PHP $_SERVER详解
Jan 16 #PHP
php 删除数组元素
Jan 16 #PHP
php完全过滤HTML,JS,CSS等标签
Jan 16 #PHP
php array_flip() 删除数组重复元素
Jan 14 #PHP
PHP mkdir()定义和用法
Jan 14 #PHP
php array_intersect()函数使用代码
Jan 14 #PHP
You might like
PHP下一个非常全面获取图象信息的函数
2008/11/20 PHP
jQuery EasyUI API 中文文档 - DateBox日期框
2011/10/15 PHP
java script编程起步(第三课)
2007/01/10 Javascript
Jquery 模拟用户点击超链接或者按钮的方法
2013/10/25 Javascript
纯css+js写的一个简单的tab标签页带样式
2014/01/28 Javascript
用json方式实现在 js 中建立一个map
2014/05/02 Javascript
javascript 判断整数方法分享
2014/12/16 Javascript
JavaScript与jQuery实现的闪烁输入效果
2016/02/18 Javascript
AngularJS基础 ng-init 指令简单示例
2016/08/02 Javascript
nodejs简单实现操作arduino
2016/09/25 NodeJs
AngularJS双向绑定和依赖反转实例详解
2017/04/15 Javascript
Vue.js手风琴菜单组件开发实例
2017/05/16 Javascript
ES6学习之变量的两种命名方法示例
2017/07/18 Javascript
nodeJS模块简单用法示例
2018/04/21 NodeJs
React native ListView 增加顶部下拉刷新和底下点击刷新示例
2018/04/27 Javascript
Vue实现美团app的影院推荐选座功能【推荐】
2018/08/29 Javascript
python实现12306抢票及自动邮件发送提醒付款功能
2018/03/08 Python
Python OpenCV对本地视频文件进行分帧保存的实例
2019/01/08 Python
python flask框架实现传数据到js的方法分析
2019/06/11 Python
Django中从mysql数据库中获取数据传到echarts方式
2020/04/07 Python
pycharm 的Structure界面设置操作
2021/02/05 Python
解决virtualenv -p python3 venv报错的问题
2021/02/05 Python
CSS中越界问题的经典解决方案【推荐】
2016/04/19 HTML / CSS
关于HTML5+ API plusready的兼容问题
2020/11/20 HTML / CSS
密封类可以有虚函数吗
2014/08/11 面试题
Java中的基本数据类型所占存储空间大小固定的吗
2012/02/15 面试题
数控专业毕业生求职信范文
2013/09/21 职场文书
劳动之星获奖感言
2014/02/01 职场文书
基层党建工作宣传标语
2014/06/24 职场文书
公民授权委托书范本
2014/09/17 职场文书
机关领导干部作风整顿整改措施
2014/09/19 职场文书
学校国庆节活动总结
2015/03/23 职场文书
酒店宣传语大全
2015/07/13 职场文书
2019年度开业庆典祝福语大全!
2019/07/05 职场文书
关于@OnetoMany关系映射的排序问题,使用注解@OrderBy
2021/12/06 Java/Android
Java基于Dijkstra算法实现校园导游程序
2022/03/17 Java/Android