SQL注入

如果需要通过网页需要用户输入的数据并将其插入到一个SQL数据库,可能会留下敞开称为SQL注入安全问题。

这一课将教你如何防止这种情况的发生,并帮助您保护服务器端脚本,如Perl脚本中使用的SQL语句。

注入通常当要求一个用户输入,就如他们的名字,但他们给你不是一个名字,会在不知不觉中对数据库运行SQL语句时发生问题。

千万不要信任用户提供的数据,处理这些数据只是验证后;作为一项规则,通过模式匹配进行。

在下面的例子中,该名称被限制为字母数字字符加下划线并以8至20个字符之间的长度(根据需要修改这些规则)。

if (preg_match("/^w{8,20}$/", $_GET['username'], $matches))
{
   $result = mysql_query("SELECT * FROM CUSTOMERS 
                          WHERE name=$matches[0]");
}
else 
{
   echo "user name not accepted";
}

为了说明问题,考虑这个片段:

// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");

函数调用应该检索来自CUSTOMERS表,其中name列相匹配用户指定名称的记录。在正常情况下,$name应该只包含字母数字字符和或许空格,如字符串ilia。 但在这里,通过附加一个全新的查询$name,调用数据库变成灾难:注入DELETE查询删除所有记录的客户。

幸运的是,如果你使用MySQL,在mysql_query()函数不允许查询堆叠或一个函数调用执行多个SQL查询。 如果您尝试堆叠查询,调用失败。

然而,其他php数据库扩展,如SQLite和PostgreSQL,愉快地进行堆查询,执行都在一个字符串提供的查询,并创建一个严重的安全问题。

防止SQL注入:

您可以在脚本语言,如Perl和PHP巧妙地处理所有转义字符。MySQL扩展为PHP提供的函数mysql_real_escape_string()来转义特殊MySQL的输入字符。

if (get_magic_quotes_gpc()) 
{
  $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");

LIKE困惑:

为了解决LIKE问题,一个自定义的转义机制必须将用户提供的'%'和'_'字符文字。 使用addslashes()函数,可以让你指定一个字符范围转义。

$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages 
             WHERE subject LIKE '{$sub}%'");

链接: https://fly63.com/course/32_1571