W3Cschool
恭喜您成為首批注冊用戶
獲得88經(jīng)驗值獎勵
如果你從網(wǎng)頁中獲取用戶輸入,并將其插入到 SQL 數(shù)據(jù)庫中的話,那么你很可能已經(jīng)暴露于一種被稱作 SQL 注入的安全風(fēng)險之下了。
本節(jié)將會教你如何防止 SQL 注入,以及如何保護 Perl 這樣的服務(wù)器端腳本中的程序和 SQL 語句。
注入通常發(fā)生在獲取用戶輸入的時候,例如預(yù)期得到用戶的名字,但是得到的卻是一段很可能會在你不知情的情況下運行的 SQL 語句。
絕對不要相信用戶提供的數(shù)據(jù),處理這些數(shù)據(jù)之前必須進(jìn)行驗證;通常,驗證工作由模式匹配來完成。
下面的例子中,name 僅限由字母、數(shù)字和下劃線組成,并且長度在 8 到 20 之間(你可以根據(jù)需要修改這些規(guī)則)。
if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
$result = mysql_query("SELECT * FROM CUSTOMERS
WHERE name=$matches[0]");
}
else
{
echo "user name not accepted";
}
為了展示問題所在,請考慮下面這段代碼:
// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");
下面的函數(shù)調(diào)用本來是要從 CUSTOMERS 表中取得 name 字段與用戶給定的輸入相匹配的記錄。通常情況下,$name 只包含字母和數(shù)字,或許還有空格,例如字符串 ilia。但是,這里通過在 $name 上附加一段全新的查詢語句,將原有的函數(shù)調(diào)用變?yōu)榱藬?shù)據(jù)庫的災(zāi)難:注入的 DELETE 語句將會刪除表中所有的記錄。
幸運的是,如果你在使用 MySQL 的話,mysql_query() 函數(shù)不允許查詢堆積(query stacking),或者說在一次函數(shù)調(diào)用中執(zhí)行多次 SQL 查詢。如果你試圖進(jìn)行堆積式查詢的話,函數(shù)調(diào)用將會失敗。
然而,其他的 PHP 數(shù)據(jù)庫擴展,例如 SQLite 和 PostgreSQL 會愉快地接受堆積式查詢,執(zhí)行字符串中所有的查詢,并由此產(chǎn)生嚴(yán)重的安全問題。
你可以在 Perl 或者 PHP 等腳本語言中巧妙地處理所有的轉(zhuǎn)義字符。PHP 的 MySQL 擴展提供了一個 mysql_real_escape_string() 函數(shù),來轉(zhuǎn)義那些對 MySQL 有特殊意義的字符。
if (get_magic_quotes_gpc())
{
$name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");
要破解 LIKE 困境,必須有一種專門的轉(zhuǎn)義機制,將用戶提供的 '%' 和 '_' 轉(zhuǎn)換為字面值。為此你可以使用 addcslashes() 函數(shù),該函數(shù)允許指定要進(jìn)行轉(zhuǎn)義的字符的范圍。
$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages
WHERE subject LIKE '{$sub}%'");
Copyright©2021 w3cschool編程獅|閩ICP備15016281號-3|閩公網(wǎng)安備35020302033924號
違法和不良信息舉報電話:173-0602-2364|舉報郵箱:jubao@eeedong.com
掃描二維碼
下載編程獅App
編程獅公眾號
聯(lián)系方式:
更多建議: