如何保护Web 站点免受 SQL注入攻击?

黄舟
Lepaskan: 2017-05-20 17:21:03
asal
1453 orang telah melayarinya

如何保护Web 站点免受 SQL注入攻击?

SQL注入攻击是指攻击者利用站点中合法用户的输入机制发送 SQL 代码到数据库执行,避免SQL 注入攻击的黄金法则是:再来自外部源的所有数据到达数据库之前将其转义。该法则不仅适用于 INSERT 和 UPDATE 语句,也适用于SELECT查询~

在脚本的查询中使用预编译语句几乎可以消除所有的SQL注入攻击问题,但是如果选择使用 query()方法,将不具备这种保护一一必须对添加到查询中的用户输入手工转义。其代码如下:

<?php
    $dbms = "mysql";                                  // 数据库的类型
    $dbName ="php_cn";                                //使用的数据库名称
    $user = "root";                                   //使用的数据库用户名
    $pwd = "root";                                    //使用的数据库密码
    $host = "localhost";                              //使用的主机名称
    $dsn  = "$dbms:host=$host;dbname=$dbName";
    $name =&#39;mr&#39;;
    $name ="&#39;or Name LIKE&#39;%";
    $query="select * from user where username = &#39;".$name."&#39;";//sql语句
try {
    $pdo = new PDO($dsn, $user, $pwd);//初始化一个PDO对象,就是创建了数据库连接对象$pdo
    $result = $pdo->query($query);    //输出结果集中的数据
    foreach ($result as $row){        //输出结果集中的数据
        ?>
<tr>
    <td bgcolor="#FFFFFF"><div align="center"><?php echo $row[&#39;username&#39;];?></div></td>
</tr>
<?php
    }
}catch (Exception $e){
    echo "ERROR!!".$e->getMessage()."<br>";
}
?>
Salin selepas log masuk

在这个实例中,假定SQL语句中的 $name 变量来自于用户提交的表单。通常用户会提交像“mr”这种内容,这就将会生成下面的SQL语句:

select * from user where username = &#39;mr&#39;
Salin selepas log masuk
Salin selepas log masuk

这在脚本中不会造成任何问题,然而,一个“聪明”的攻击者可能会输入 “‘OR Name LIKE’%”,从而得到下面的SQL 语句:

select * from user where username = &#39;mr&#39;
Salin selepas log masuk
Salin selepas log masuk

这在脚本中不会造成任何问题,然而,一个“聪明”的攻击者可能会输入 “‘OR Name LIKE’%”,从而得到下面的SQL 语句:

select * from user where username ="OR Name LIKE&#39;%&#39;
Salin selepas log masuk

这种输入会为攻击者打开整个表,如果是非常敏感的数据,将被完全暴露在外。那么采用什么方法才能解决这个问题呢?

解决办法

要想解决这个问题,可以使用PDO中的quote 方法转义传递给SQL 字符串的数据,只需要将SQL代码修改成:

$sql="select * from user where username = &#39;".$pdo->quote($name)."&#39;";
Salin selepas log masuk

记住需要引用SQL 查询中使用的每块数据,这个没有快捷途径,除非考虑使用prepare()和 execute()方法。

说明:

如果正在使用PDO->query()方法,那么总需要使用quote()方法引用用户的输入,记住是“总需要”。

如果选择使用prepare()和 execute()方法,那么不必引用那些需要绑定到预编译SQL 的值(比如:将被插入导数据库的值),驱动会为用户做所有的事,然而,有时可能无法将一个变量绑定到预编译 SQL 语句,在这种情况下,如果正在创建一个动态SQL语句,那么需要引用所有用到的无法被绑定的值(如:GROUP BY 子句或ORDER BY或表名称)。

那么关于如何保护Web 站点免受 SQL注入攻击的解决办法到这里就介绍完了,相信小伙伴们都可以轻松的掌握这节的知识点~

Atas ialah kandungan terperinci 如何保护Web 站点免受 SQL注入攻击?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan