SQLInjection-Angriff ist die häufigste Methode, mit der Hacker Websites angreifen. Wenn Ihre Website keine strenge Benutzereingabevalidierung verwendet, ist sie häufig anfällig für SQL-Injection-Angriffe. SQL--Injection-Angriffe werden normalerweise durch die Übermittlung fehlerhafter Daten oder Abfrageanweisungen an die Site-Datenbank implementiert, was dazu führen kann, dass Datensätze in der Datenbank offengelegt, geändert oder gelöscht werden.
Um SQL-Injection-Angriffe zu verhindern, verfügt PHP über eine Funktion, die die Eingabezeichenfolge verarbeiten und eine vorläufige Sicherheitsverarbeitung der Eingabe auf der unteren Ebene durchführen kann, nämlich Magic Quotes. (php.ini magic_quotes_gpc). Wenn die Option magic_quotes_gpc aktiviert ist, wird einfachen Anführungszeichen, doppelten Anführungszeichen und anderen Zeichen in der Eingabezeichenfolge automatisch ein Backslash / vorangestellt.
Aber Magic Quotes ist keine sehr universelle Lösung, es blockiert nicht alle potenziell gefährlichen Zeichen und Magic Quotes ist auf vielen Servern nicht aktiviert. Daher müssen wir auch verschiedene andere Methoden verwenden, um die SQL-Injection zu verhindern.
Viele Datenbanken bieten diese Funktionalität zur Eingabedatenverarbeitung nativ an. Zu den MySQL-Betriebsfunktionen von PHP gehören beispielsweise addslashes(), mysql_real_escape_string(), mysql_escape_string() und andere Funktionen, die Sonderzeichen und Zeichen, die zu Datenbankbetriebsfehlern führen können, maskieren können. Was sind also die Unterschiede zwischen diesen drei Funktionsfunktionen? Lassen Sie uns weiter unten ausführlich darüber sprechen.
Obwohl viele inländische PHP-Programmierer immer noch auf Addslashes angewiesen sind, um SQL-Injection zu verhindern, wird jedem empfohlen, die chinesischen Prüfungen zu verstärken, um SQL-Injection zu verhindern . Das Problem mit Addslashes besteht darin, dass Hacker 0xbf27 anstelle von einfachen Anführungszeichen verwenden können, während Addslashes nur 0xbf27 in 0xbf5c27 ändert, was zu einem gültigen Multibyte-Zeichen wird. 0xbf5c wird weiterhin als einfaches Anführungszeichen betrachtet, sodass Addslashes nicht erfolgreich abgefangen werden können.
Addslashes ist natürlich nicht nutzlos. Es wird für die Verarbeitung von Einzelbyte-Zeichenfolgen verwendet. Verwenden Sie mysql_real_escape_string.
Außerdem für das Beispiel von get_magic_quotes_gpc im PHP-Handbuch:
<code><span>if</span> (!get_magic_quotes_gpc()) { <span>$lastname</span> = addslashes(<span>$_POST</span>[‘lastname’]); } <span>else</span> { <span>$lastname</span> = <span>$_POST</span>[‘lastname’]; }</code>
Am besten überprüfen Sie $_POST[’lastname’], wenn magic_quotes_gpc bereits geöffnet ist.
Lassen Sie uns über den Unterschied zwischen den beiden Funktionen mysql_real_escape_string und mysql_escape_string sprechen:
mysql_real_escape_string kann nur unter (PHP 4 >= 4.3.0, PHP 5) verwendet werden. Andernfalls können Sie nur mysql_escape_string verwenden. Der Unterschied zwischen den beiden ist: mysql_real_escape_string berücksichtigt den aktuellen Zeichensatz der Verbindung, während mysql_escape_string dies nicht tut.
Um es zusammenzufassen:
Um SQL-Injection in dz zu verhindern, müssen Sie die Funktion „addslashes“ verwenden und gleichzeitig einige Ersetzungen in der Funktion „dthmlspecialchars“ $string = preg_replace('/&(( #(/ d{3,5}|x[a-fA-F0-9]{4}));)/', '&//1', dieser Ersatz löst das Injektionsproblem und löst auch einige verstümmelte chinesische Zeichen Frage.
Das Obige hat die Analyse der in PHP integrierten Funktionen zur Verhinderung von SQL-Injection vorgestellt, einschließlich der relevanten Aspekte. Ich hoffe, dass es für Freunde hilfreich sein wird, die sich für PHP-Tutorials interessieren.