Wie kann man SQL-Injection-Angriffe in PHP verhindern?
P粉939473759
P粉939473759 2023-08-22 10:23:01
0
2
565
<p>Wenn Benutzereingaben unverändert in eine SQL-Abfrage eingefügt werden, wird die Anwendung anfällig für SQL-Injection-Angriffe, wie im folgenden Beispiel: </p> <pre class="lang-php Prettyprint-override"><code>$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')"); </code></pre> <p>Das liegt daran, dass der Benutzer etwas wie <code>value');DROP TABLE table;--</code> eingeben kann. <pre class="brush:php;toolbar:false;">INSERT INTO `table` (`column`) VALUES('value');--')</pre> <p>Wie kann ich das verhindern? </p>
P粉939473759
P粉939473759

Antworte allen(2)
P粉891237912

要使用参数化查询,您需要使用Mysqli或PDO。要使用mysqli重写您的示例,我们需要类似以下的代码。

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("服务器", "用户名", "密码", "数据库名称");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO 表名 (列名) VALUES (?)");
// "s"表示数据库期望一个字符串
$stmt->bind_param("s", $variable);
$stmt->execute();

您可能需要阅读的关键函数是mysqli::prepare

此外,正如其他人建议的那样,您可能会发现使用PDO等更高级的抽象层会更有用/更容易。

请注意,您提到的情况相当简单,更复杂的情况可能需要更复杂的方法。特别是:

  • 如果您想根据用户输入更改SQL的结构,参数化查询将无法帮助您,并且所需的转义不包含在mysql_real_escape_string中。在这种情况下,最好将用户的输入通过白名单传递,以确保只允许通过“安全”值。
P粉771233336

无论您使用哪个数据库,避免SQL注入攻击的正确方法是将数据与SQL分离,使数据保持数据的形式,永远不会被SQL解析器解释为命令。可以创建带有正确格式化数据部分的SQL语句,但如果您不完全了解细节,您应该始终使用预处理语句和参数化查询。这些是将SQL语句与任何参数分开发送并由数据库服务器分析的SQL语句。这样,攻击者就无法注入恶意SQL。

基本上有两种方法可以实现这一点:

  1. 使用PDO(适用于任何支持的数据库驱动程序):

    $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
    $stmt->execute([ 'name' => $name ]);
    
    foreach ($stmt as $row) {
        // 对$row进行操作
    }
    
  2. 使用MySQLi(适用于MySQL):
    自PHP 8.2+以来,我们可以使用execute_query()方法来准备、绑定参数和执行SQL语句:

    $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
     while ($row = $result->fetch_assoc()) {
         // 对$row进行操作
     }
    

    在PHP8.1之前:

     $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
     $stmt->bind_param('s', $name); // 's'指定变量类型 => 'string'
     $stmt->execute();
     $result = $stmt->get_result();
     while ($row = $result->fetch_assoc()) {
         // 对$row进行操作
     }
    

如果您连接的是MySQL以外的数据库,可以参考特定于驱动程序的第二个选项(例如,对于PostgreSQL,可以使用pg_prepare()pg_execute())。PDO是通用选项。


正确设置连接

PDO

请注意,当使用PDO访问MySQL数据库时,默认情况下不会使用真正的预处理语句。为了解决这个问题,您需要禁用预处理语句的模拟。以下是使用PDO创建连接的示例:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的示例中,错误模式并不是严格必需的,但建议添加它。这样PDO将通过抛出PDOException来通知您所有的MySQL错误。

然而,必须的是第一行setAttribute(),它告诉PDO禁用模拟的预处理语句并使用真正的预处理语句。这样确保语句和值在发送到MySQL服务器之前不会由PHP解析(使潜在的攻击者无法注入恶意SQL)。

虽然您可以在构造函数的选项中设置charset,但需要注意的是,“旧版”PHP(5.3.6之前)在DSN中静默忽略了charset参数

Mysqli

对于mysqli,我们需要遵循相同的例程:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集

解释

您传递给prepare的SQL语句由数据库服务器解析和编译。通过指定参数(在上面的示例中,可以是?或命名参数,如:name),您告诉数据库引擎您要在哪里进行过滤。然后,当您调用execute时,准备好的语句将与指定的参数值组合。

这里重要的是参数值与编译后的语句组合,而不是与SQL字符串组合。SQL注入是通过欺骗脚本在创建要发送到数据库的SQL时包含恶意字符串来工作的。因此,通过将实际的SQL与参数分开发送,可以限制意外结果的风险。

使用预处理语句发送的任何参数都将被视为字符串(尽管数据库引擎可能会对参数进行一些优化,因此参数最终可能是数字)。在上面的示例中,如果$name变量包含'Sarah'; DELETE FROM employees,结果将仅是搜索字符串"'Sarah'; DELETE FROM employees",您将不会得到一个空表

使用预处理语句的另一个好处是,如果在同一会话中多次执行相同的语句,它只会被解析和编译一次,从而提高一些速度。

哦,既然您问到如何对插入进行操作,这里是一个示例(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute([ 'column' => $unsafeValue ]);

预处理语句是否适用于动态查询?

虽然您仍然可以对查询参数使用预处理语句,但动态查询本身的结构无法进行参数化,并且某些查询功能也无法进行参数化。

对于这些特定的场景,最好的做法是使用白名单过滤器来限制可能的值。

// 值白名单
// $dir只能是'DESC',否则将为'ASC'
if (empty($dir) || $dir !== 'DESC') {
   $dir = 'ASC';
}
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage