二十五岁时我们都一样愚蠢、多愁善感,喜欢故弄玄虚,可如果不那样的话,五十岁时也就不会如此明智。
标题:MySQL 安全及防止 SQL 注入攻击
如果通过网页获取用户输入的数据并将其插入
MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是
永远不要相信用户的数据,哪怕他一再承诺是安全的
SQL 注入式攻击
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令比如有一个表单,用户可以输入
name<?php $name = $_GET['name']; $dbh->query("SELECT * FROM users WHERE name='{$name}'");那么当用户输入的
name为Python'; DELETE FROM user;'时会变成什么?SELECT * FROM users WHERE name='Python'; DELETE FROM user;'';这条语句运行一下,会发现什么? 我们的
user表被清空啦,很可怕,对不对所以我们需要对用户的输入进行过滤处理
例如下面的 PHP 语句,要求用户输入的名称
name必须是字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间<?php if (preg_match("/^\w{8,20}$/", $_GET['name'], $matches)) $dbh->query("SELECT * FROM tbl_language WHERE name=$matches[0]"); else echo "username 输入异常";防止 SQL 注入要诀
防止
SQL注入,我们需要注意以下几个要点
永远不要信任用户的输入
对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双 "-" 进行转换等
永远不要使用动态拼装 SQL ,可以使用 SQL 预处理语句
永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接
不要把机密信息直接存放,加密或者 hash 掉密码和敏感的信息
应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
SQL 注入的检测方法一般采取辅助软件或网站平台来检测
防止 SQL 注入
Perl和PHP中可以对用户输入的数据进行转义从而来防止 SQL 注入PHP 中可以使用
PHP_PDO的PDO:prepare()方法来预处理 SQL 语句,然后使用PDOStatement::bindParam()方法绑定参数,或者在PDOStatement::execute()传入参数来预防 SQL 注入<?php $stmt = $dbh->prepare("SELECT * FROM tbl_language WHERE name=?"); $stmt->execute(array$_GET['name']));LIKE 子句语句中的 SQL 注入
使用
LIKE子句查询时,如果用户输入的值有_或%,则会出现下面这种情况用户本来只是想查询
abcd%,查询结果中却有abcd_、abcde、abcdf等等PHP 脚本中,我们首先要使用
addcslashes($name,"%_")对输入的字符进行转义,然后使用PHP_PDO的PDO:prepare()方法来预处理 SQL 语句,然后使用PDOStatement::bindParam()方法绑定参数,或者在PDOStatement::execute()传入参数来预防 SQL 注入$name = 'thon%'; $name = addcslashes($name,"%_"); $stmt = $dbh->prepare("SELECT * FROM tbl_language WHERE name LIKE ? "); $stmt->execute(array( '%'.$name));
