什么是SQL注入?
SQL注入是指在你系统防御之外,某人将一段Mysql语句注入到你的数据库。注入通常发生在系统要求用户输入数据的时候,比如用户名的输入,用户可能输入的不是一个用户名,而是一段SQL语句,这个语句可能就会不知不觉地运行在你的数据库中。
SQL注入实例
$name = $_POST['username'];$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";如同你看到的,用户输入的值会通过url参数分配给变量$name,然后直接放置到sql语句中。这意味着用户是有可能编辑sql语句的。
$name = "admin' OR 1=1 -- ";$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";sql数据库最后会接收到下面的这一段sql语句:
SELECT * FROM `tbl_name` WHERE `name`='admin' OR 1=1 --';
在Mysql中- -表示忽略掉后面所有的内容,就是注释掉后面所有内容。这是有效的SQL语句,而且执行结果不是返回当前用户数据,而是将返回所有数据表(table_name)中的所有数据。这是任何人都不希望在他们的web应用程序中出现。下面将会教你如何防止这种类型的漏洞。
那么,如何简单防止Mysql注入?
这个问题已经被知道了一段时间,PHP有一个特制的功能以防止这些攻击。所有你需要做的就是使用一个函数mysql_real_escape_string()。
mysql_real_escape_string所做的是把一个输入的字符串,在MySQL查询时将它处理为用户输入的真实字符串,来防止SQL注入。有点绕,基本上,就是将用户输入可能引起Mysql安全隐患的字符串比如单引号('),用逃脱引用来表示\ '。
将这个函数应用到上面那个可能被注入的例子中:
$name = mysql_real_escape_string($_POST['username']);$query = "SELECT * FROM `tbl_name` WHERE `name` = '$name' ";这里要十分小心的是,mysql_real_escape_string要先成功地通过mysql_connect连接到mysql server上以后才能正常使用,如果数据库
还没连接直接使用这个函数会报错。上面经过函数转化后,$query最后打印出来的语句为:
还没连接直接使用这个函数会报错。上面经过函数转化后,$query最后打印出来的语句为:
SELECT * FROM `tbl_name` WHERE `name`='admin\' OR 1=1 -- ';
也就是说上面那个admin后面的单引号(')被转义为真实的输入字符,不再和admin前的字符进行匹配,admin前的单引号将和字符串–后面的单引号进行匹配。
让我们创建一个通用的函数,你可以用任何名字来命名它,在这里,我要将它命名为"mres":
function mres($var){ if (get_magic_quotes_gpc()){ $var = stripslashes(trim($var)); } return mysql_real_escape_string(trim($var));}现在,可以把函数简化成下面这个样子:
$name = mres($_POST['username']);$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";