如果需要通过网页需要用户输入的数据并将其插入到一个SQL数据库,可能会留下敞开称为SQL注入安全问题。
这一课将教你如何防止这种情况的发生,并帮助您保护服务器端脚本,如Perl脚本中使用的SQL语句。
注入通常当要求一个用户输入,就如他们的名字,但他们给你不是一个名字,会在不知不觉中对数据库运行SQL语句时发生问题。
千万不要信任用户提供的数据,处理这些数据只是验证后;作为一项规则,通过模式匹配进行。
在下面的例子中,该名称被限制为字母数字字符加下划线并以8至20个字符之间的长度(根据需要修改这些规则)。
if (preg_match("/^w{8,20}$/", $_GET['username'], $matches))
{
$result = mysql_query("SELECT * FROM CUSTOMERS
WHERE name=$matches[0]");
}
else
{
echo "user name not accepted";
}
为了说明问题,考虑这个片段:
// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");
函数调用应该检索来自CUSTOMERS表,其中name列相匹配用户指定名称的记录。在正常情况下,$name应该只包含字母数字字符和或许空格,如字符串ilia。 但在这里,通过附加一个全新的查询$name,调用数据库变成灾难:注入DELETE查询删除所有记录的客户。
幸运的是,如果你使用MySQL,在mysql_query()函数不允许查询堆叠或一个函数调用执行多个SQL查询。 如果您尝试堆叠查询,调用失败。
然而,其他php数据库扩展,如SQLite和PostgreSQL,愉快地进行堆查询,执行都在一个字符串提供的查询,并创建一个严重的安全问题。
您可以在脚本语言,如Perl和PHP巧妙地处理所有转义字符。MySQL扩展为PHP提供的函数mysql_real_escape_string()来转义特殊MySQL的输入字符。
if (get_magic_quotes_gpc())
{
$name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");
为了解决LIKE问题,一个自定义的转义机制必须将用户提供的'%'和'_'字符文字。 使用addslashes()函数,可以让你指定一个字符范围转义。
$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages
WHERE subject LIKE '{$sub}%'");