Heim > Datenbank > MySQL-Tutorial > [MySQL-Tutorial] MySQL- und SQL-Injection

[MySQL-Tutorial] MySQL- und SQL-Injection

黄舟
Freigeben: 2016-12-26 17:24:13
Original
1372 Leute haben es durchsucht

MySQL und SQL-Injection

Wenn Sie vom Benutzer eingegebene Daten über eine Webseite erhalten und diese in eine MySQL-Datenbank einfügen, können Sicherheitsprobleme bei der SQL-Injection auftreten.

In diesem Kapitel erfahren Sie, wie Sie die SQL-Injection verhindern und Skripte verwenden, um in SQL injizierte Zeichen zu filtern.

Bei der sogenannten SQL-Injection werden SQL-Befehle in Webformularübermittlungen eingefügt oder Domänennamen oder Abfragezeichenfolgen für Seitenanfragen eingegeben, wodurch der Server letztendlich dazu verleitet wird, bösartige SQL-Befehle auszuführen.

Wir sollten niemals Benutzereingaben vertrauen. Wir müssen davon ausgehen, dass die vom Benutzer eingegebenen Daten nicht sicher sind.

Im folgenden Beispiel muss der eingegebene Benutzername eine Kombination aus Buchstaben, Zahlen und Unterstrichen sein und der Benutzername muss zwischen 8 und 20 Zeichen lang sein:

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
   $result = mysql_query("SELECT * FROM users 
                          WHERE username=$matches[0]");
}
 else 
{
   echo "username 输入异常";
}
Nach dem Login kopieren

Nehmen wir mal Schauen Sie sich die folgende SQL-Situation an, wenn Sonderzeichen nicht gefiltert werden:

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");
Nach dem Login kopieren

In der obigen Injektionsanweisung haben wir die Variable von $name nicht gefiltert und eine SQL-Anweisung eingefügt, die wir nicht benötigten in $name löschen. Alle Daten in der Benutzertabelle löschen.

Mysql_query() in PHP darf nicht mehrere SQL-Anweisungen ausführen, aber in SQLite und PostgreSQL können mehrere SQL-Anweisungen gleichzeitig ausgeführt werden, daher müssen wir die Daten dieser Benutzer streng überprüfen.

Um SQL-Injection zu verhindern, müssen wir auf die folgenden Punkte achten:

1. Vertrauen Sie niemals Benutzereingaben. Um die Eingabe des Benutzers zu überprüfen, können Sie reguläre Ausdrücke verwenden oder die Länge begrenzen; einfache Anführungszeichen und doppelte „-“ usw. konvertieren.

2. Verwenden Sie niemals die dynamische Assemblierung von SQL. Sie können parametrisierte SQL-Anweisungen oder direkt gespeicherte Prozeduren für die Datenabfrage und den Datenzugriff verwenden.

3. Verwenden Sie niemals eine Datenbankverbindung mit Administratorrechten. Verwenden Sie für jede Anwendung eine separate Datenbankverbindung mit eingeschränkten Rechten.

v 4. Speichern Sie vertrauliche Informationen nicht direkt, verschlüsseln oder hashen Sie Passwörter und sensible Informationen nicht.

5. Die Ausnahmeinformationen der Anwendung sollten so wenige Eingabeaufforderungen wie möglich enthalten. Es ist am besten, benutzerdefinierte Fehlerinformationen zu verwenden, um die ursprüngliche Fehlermeldung zu verpacken Zur Erkennung wird im Allgemeinen eine Hilfssoftware oder Website-Plattform verwendet. Die Software verwendet im Allgemeinen das SQL-Injection-Erkennungstool jsky, und die Website-Plattform verfügt über das Erkennungstool der Yisi-Website-Sicherheitsplattform. MDCSOFT SCAN usw. Der Einsatz von MDCSOFT-IPS kann wirksam vor SQL-Injection, XSS-Angriffen usw. schützen.

SQL-Injection verhindern

In Skriptsprachen wie Perl und PHP können Sie vom Benutzer eingegebene Daten maskieren, um SQL-Injection zu verhindern.

Die MySQL-Erweiterung von PHP bietet die Funktion mysql_real_escape_string(), um spezielle Eingabezeichen zu maskieren.

Injektion in Like-Anweisung
if (get_magic_quotes_gpc()) 
{
  $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");
Nach dem Login kopieren

Wenn bei der Abfrage von Like die vom Benutzer eingegebenen Werte „_“ und „%“ enthalten, tritt diese Situation auf: Der Benutzer hat ursprünglich nur wollte „abcd_“ abfragen, aber es gibt „abcd_“, „abcde“, „abcdf“ usw. in den Abfrageergebnissen; es treten auch Probleme auf, wenn der Benutzer „30 %“ abfragen möchte (Hinweis: dreißig Prozent).

In PHP-Skripten können wir die Funktion addcslashes() verwenden, um die obige Situation zu behandeln, wie im folgenden Beispiel gezeigt:

Die Funktion addcslashes() fügt einen Backslash vor dem angegebenen hinzu Charakter.
$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'")
Nach dem Login kopieren

Syntaxformat:

addcslashes(string,characters)
Nach dem Login kopieren

Parameter

Beschreibung

Zeichenfolge Erforderlich. Gibt die zu überprüfende Zeichenfolge an.

Zeichen optional. Gibt die Zeichen oder den Zeichenbereich an, die von addcslashes() betroffen sind.

Für bestimmte Anwendungen können Sie Folgendes anzeigen: PHP addcslashes()-Funktion

Das Obige ist der Inhalt von [MySQL-Tutorial] MySQL- und SQL-Injection. Weitere verwandte Inhalte finden Sie unter PHP chinesische Website (www.php.cn)!


Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage