php语言 百分网手机站

php防止SQL注入的方法

时间:2017-05-11 php语言 我要投稿

php防止SQL注入的方法

  在php编程中,防范sql注入攻击的简单方法,感兴趣的朋友可以参考下,可能对日常的sql注入防范有一定的帮助。

  sql注入产生的原因,一般如下:

  一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。

  这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。

  对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案)。

  例子, 一个简单的登录表单:

  复制代码 代码示例:

  <form action="/login.php" method="POST">

  <p>Username: <input type="text" name="username" /></p>

  <p>Password: <input type="password" name="password" /></p>

  <p><input type="submit" value="Log In" /></p>

  </form>

  攻击者会从推测验证用户名和密码的查询语句开始。通过查看源文件,他就能开始猜测你的习惯。

  比如命名习惯。通常会假设你表单中的字段名为与数据表中的字段名相同。当然,确保它们不同未必是一个可靠的安全措施。

  第一次猜测,一般会使用下面例子中的查询:

  复制代码 代码示例:

  <?php

  $password_hash = md5($_POST['password']);

  $sql = "SELECT count(*)

  FROM   users

  WHERE  username = '{$_POST['username']}'

  AND    password = '$password_hash'";

  ?>

  使用用户密码的MD5值原来是一个通行的做法,但现在并不是特别安全了。

  最近的研究表明MD5算法有缺陷,而且大量MD5数据库降低了MD5反向破解的难度。

  请访问http://md5.rednoize.com/ 查看演示。

  最好的保护方法:

  在密码上附加一个自定义的字符串,例如:

  复制代码 代码示例:

  <?php

  $salt = 'SHIFLETT';

  $password_hash = md5($salt . md5($_POST['password'] . $salt));

  ?>

  当然,攻击者未必在第一次就能猜中,他们常常还需要做一些试验。有一个比较好的试验方式是把单引号作为用户名录入,原因是这样可能会暴露一些重要信息。有很多开发人员在Mysql语句执行出错时会调用函数mysql_error()来报告错误。见下面的例子:

  复制代码 代码示例:

  <?php

  mysql_query($sql) or exit(mysql_error());

  ?>

  该方法能向攻击者暴露重要信息。如果攻击者把单引号做为用户名,mypass做为密码,查询语句就会变成:

  复制代码 代码示例:

  <?php

  $sql = "SELECT *

  FROM   users

  WHERE  username = '''

  AND    password = 'a029d0df84eb5549c641e04a9ef389e5'";

  ?>