PHP MysqL_real_escape_string addslashes及MysqL绑定参数防sql注入攻击@H_403_1@
PHP防止sql注入攻击一般有三种方法:
@H_403_1@本文章向大家详细介绍这三个方法在防止sql注入攻击中的效果及区别。@H_403_1@
MysqL_real_escape_string防sql注入攻击
@H_403_1@MysqL_real_escape_string() 函数转义 sql 语句中使用的字符串中的特殊字符。@H_403_1@
在有些时候需要将MysqL_real_escape_string与MysqL_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过MysqL_real_escape_string函数的漏洞,比如:@H_403_1@
当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时,sql语句输出为:@H_403_1@
这时候引发sql注入攻击。
@H_403_1@下面是MysqL_real_escape_string函数防止sql注入攻击的正确做法:@H_403_1@
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
// 进行安全的 SQL
mysql_set_charset('utf-8');
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>
addslashes防sql注入攻击
@H_403_1@国内很多PHP coder仍在依靠addslashes防止sql注入(包括我在内),我还是建议大家加强中文防止sql注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。@H_403_1@
addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:@H_403_1@
MysqL bind_param()绑定参数防止sql注入攻击
@H_403_1@什么叫绑定参数,给大家举个例子:@H_403_1@
你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.@H_403_1@
注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可@H_403_1@
通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..@H_403_1@
我们来做一个实验:@H_403_1@
可以看到.生成了非常正规的sql语句.那么好.我们现在来试下刚才被注入的那种情况@H_403_1@
可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.@H_403_1@
总结:
@H_403_1@上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。@H_403_1@
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!@H_403_1@ 原文链接:https://www.f2er.com/php/18213.html