php mysql_real_escape_string addslashes及mysql綁定參數(shù)防SQL注入攻擊

更新時間：2016年12月23日 08:47:56 投稿：lqh

這篇文章主要介紹了php mysql_real_escape_string addslashes及mysql綁定參數(shù)防SQL注入攻擊的相關(guān)資料,需要的朋友可以參考下

php防止SQL注入攻擊一般有三種方法：

使用mysql_real_escape_string函數(shù)
使用addslashes函數(shù)
使用mysql bind_param()

本文章向大家詳細(xì)介紹這三個方法在防止SQL注入攻擊中的效果及區(qū)別。

mysql_real_escape_string防sql注入攻擊

mysql_real_escape_string() 函數(shù)轉(zhuǎn)義 SQL 語句中使用的字符串中的特殊字符。

在有些時候需要將mysql_real_escape_string與mysql_set_charset一起使用，因為如果不指定編碼，可能會存在字符編碼繞過mysql_real_escape_string函數(shù)的漏洞，比如：

$name=$_GET['name'];
$name=mysql_real_escape_string($name);
$sql="select *from table where name like '%$name%'";

當(dāng)輸入name值為name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23時，sql語句輸出為：

SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';

這時候引發(fā)SQL注入攻擊。

下面是mysql_real_escape_string函數(shù)防止SQL注入攻擊的正確做法：

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
 {
 $value = stripslashes($value);
 }
// 如果不是數(shù)字則加引號
/* http://www.manongjc.com/article/1242.html */
if (!is_numeric($value))
 {
 $value = "'" . mysql_real_escape_string($value) . "'";
 }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
 die('Could not connect: ' . mysql_error());
 }

// 進(jìn)行安全的 SQL
mysql_set_charset('utf-8');
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

addslashes防sql注入攻擊

國內(nèi)很多PHP coder仍在依靠addslashes防止SQL注入（包括我在內(nèi)），我還是建議大家加強(qiáng)中文防止SQL注入的檢查。addslashes的問題在于可以用0xbf27來代替單引號，而addslashes只是將0xbf27修改為0xbf5c27，成為一個有效的多字節(jié)字符，其中的0xbf5c仍會被看作是單引號，所以addslashes無法成功攔截。當(dāng)然addslashes也不是毫無用處，它可用于單字節(jié)字符串的處理。

addslashes會自動給單引號,雙引號增加\,這樣我們就可以安全的把數(shù)據(jù)存入數(shù)據(jù)庫中而不黑客利用,參數(shù)'a..z'界定所有大小寫字母均被轉(zhuǎn)義,代碼如下:

echo addcslashes('foo[ ]','a..z'); //輸出：foo[ ] 
$str="is your name o'reilly?"; //定義字符串，其中包括需要轉(zhuǎn)義的字符 
echo addslashes($str); //輸出經(jīng)過轉(zhuǎn)義的字符串

mysql bind_param()綁定參數(shù)防止SQL注入攻擊

什么叫綁定參數(shù)，給大家舉個例子：

<?php  
$username = "aaa";  
$pwd = "pwd";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一個問號的地方綁定$username這個變量  
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二個問號的地方綁定$pwd這個變量  
echo $sql;  
?>

你肯定不知道會輸出什么..更無法知道綁定參數(shù)有什么好處!這樣做的優(yōu)勢是什么.更不知道bindParam這個函數(shù)到底做了什么.

下面我簡單的寫一下這個函數(shù)：

<?php  
/**  
 * 模擬簡單的綁定參數(shù)過程  
 *  
 * @param string $sql  SQL語句  
 * @param int $location 問號位置  
 * @param mixed $var   替換的變量  
 * @param string $type  替換的類型  
 */ 
$times = 0;  
//這里要注意，因為要“真正的"改變$sql的值，所以用引用傳值 
function bindParam(&$sql, $location, $var, $type) {  
  global $times;  
  //確定類型  
  switch ($type) {  
    //字符串  
    default:          //默認(rèn)使用字符串類型  
    case 'STRING' :  
      $var = addslashes($var); //轉(zhuǎn)義  
      $var = "'".$var."'";   //加上單引號.SQL語句中字符串插入必須加單引號  
      break;  
    case 'INTEGER' :  
    case 'INT' :  
      $var = (int)$var;     //強(qiáng)制轉(zhuǎn)換成int  
    //還可以增加更多類型..  
  }  
  //尋找問號的位置  
  for ($i=1, $pos = 0; $i<= $location; $i++) {  
    $pos = strpos($sql, '?', $pos+1);  
  }  
  //替換問號  
  $sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);  
}  
?>

注:由于得知道去除問號的次數(shù)..所以我用了一個global來解決.如果放到類中就非常容易了.弄個私有屬性既可

通過上面的這個函數(shù).我們知道了..綁定參數(shù)的防注入方式其實也是通過轉(zhuǎn)義進(jìn)行的..只不過是對于變量而言的..

我們來做一個實驗：

<?php  
$times = 0;  
$username = "aaaa";  
$pwd = "123";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一個問號的地方綁定$username這個變量  
bindParam($sql, 2, $pwd, 'INT');    //以字符串的形式.在第二個問號的地方綁定$pwd這個變量  
echo $sql; //輸出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123  
?>

可以看到.生成了非常正規(guī)的SQL語句.那么好.我們現(xiàn)在來試下剛才被注入的那種情況

<?php  
$times = 0;  
$username = "aaa";  
$pwd = "fdsafda' or '1'='1";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一個問號的地方綁定$username這個變量  
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二個問號的地方綁定$pwd這個變量  
echo $sql; //輸出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'  
?>

可以看到.pwd內(nèi)部的注入已經(jīng)被轉(zhuǎn)義.當(dāng)成一個完整的字符串了..這樣的話.就不可能被注入了.

總結(jié)：

上面三個方法都可以防止sql注入攻擊，但第一種方法和第二種方法都存在字符編碼的漏洞，所以本文章建議大家使用第三種方法。

感謝閱讀，希望能幫助到大家，謝謝大家對本站的支持！

您可能感興趣的文章: