php防止SQL注入攻击一般有三种方法:
- 使用mysql_real_escape_string函数
- 使用addslashes函数
- 使用mysql bind_param()
本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。
mysql_real_escape_string防sql注入攻击
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:
$name=$_GET[\'name\'];
$name=mysql_real_escape_string($name);
$sql=\"select *from table where name like \'%$name%\'\";
当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时,sql语句输出为:
SELECT * FROM table WHERE name LIKE \'%41¿\\\\\\\' or sleep(10.10)=0 limit 1#%\';
这时候引发SQL注入攻击。
下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:
<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// 如果不是数字则加引号
/* http://www.manongjc.com/article/1242.html */
if (!is_numeric($value))
{
$value = \"\'\" . mysql_real_escape_string($value) . \"\'\";
}
return $value;
}
$con = mysql_connect(\"localhost\", \"hello\", \"321\");
if (!$con)
{
die(\'Could not connect: \' . mysql_error());
}
// 进行安全的 SQL
mysql_set_charset(\'utf-8\');
$user = check_input($_POST[\'user\']);
$pwd = check_input($_POST[\'pwd\']);
$sql = \"SELECT * FROM users WHERE
user=$user AND password=$pwd\";
mysql_query($sql);
mysql_close($con);
?>
addslashes防sql注入攻击
国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。
addslashes会自动给单引号,双引号增加\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:
echo addcslashes(\'foo[ ]\',\'a..z\'); //输出:foo[ ]
$str=\"is your name o\'reilly?\"; //定义字符串,其中包括需要转义的字符
echo addslashes($str); //输出经过转义的字符串
mysql bind_param()绑定参数防止SQL注入攻击
什么叫绑定参数,给大家举个例子:
<?php
$username = \"aaa\";
$pwd = \"pwd\";
$sql = \"SELECT * FROM table WHERE username = ? AND pwd = ?\";
bindParam($sql, 1, $username, \'STRING\'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, \'STRING\'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql;
?>
你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.
下面我简单的写一下这个函数:
<?php
/**
* 模拟简单的绑定参数过程
*
* @param string $sql SQL语句
* @param int $location 问号位置
* @param mixed $var 替换的变量
* @param string $type 替换的类型
*/
$times = 0;
//这里要注意,因为要“真正的\"改变$sql的值,所以用引用传值
function bindParam(&$sql, $location, $var, $type) {
global $times;
//确定类型
switch ($type) {
//字符串
default: //默认使用字符串类型
case \'STRING\' :
$var = addslashes($var); //转义
$var = \"\'\".$var.\"\'\"; //加上单引号.SQL语句中字符串插入必须加单引号
break;
case \'INTEGER\' :
case \'INT\' :
$var = (int)$var; //强制转换成int
//还可以增加更多类型..
}
//寻找问号的位置
for ($i=1, $pos = 0; $i<= $location; $i++) {
$pos = strpos($sql, \'?\', $pos+1);
}
//替换问号
$sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);
}
?>
注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可
通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..
我们来做一个实验:
<?php
$times = 0;
$username = \"aaaa\";
$pwd = \"123\";
$sql = \"SELECT * FROM table WHERE username = ? AND pwd = ?\";
bindParam($sql, 1, $username, \'STRING\'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, \'INT\'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql; //输出 SELECT * FROM table WHERE username = \'aaaa\' AND pwd = 123
?>
可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况
<?php
$times = 0;
$username = \"aaa\";
$pwd = \"fdsafda\' or \'1\'=\'1\";
$sql = \"SELECT * FROM table WHERE username = ? AND pwd = ?\";
bindParam($sql, 1, $username, \'STRING\'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, \'STRING\'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql; //输出 SELECT * FROM table WHERE username = \'aaa\' AND pwd = \'fdsafda\\\' or \\\'1\\\'=\\\'1\'
?>
可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.
总结:
上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。
继续阅读与本文标签相同的文章
开学AI登场!南京高校用人脸识别查考勤管理学生
php mysql_result()函数使用实例
-
PS保存图片提示“无法完成请求”,这里有4种解决方法!
2026-05-14栏目: 教程
-
想买1000元左右的5G手机?我们需要等多久?
2026-05-14栏目: 教程
-
剧情反转?美企主动购买华为5G技术,华为成赞赏排行榜第一名!
2026-05-14栏目: 教程
-
城市数字化后,新一代内生安全系统可全方位保护
2026-05-14栏目: 教程
-
谷歌也来“唱衰”5G,5G手机只会徒增功耗?为何这么说?
2026-05-14栏目: 教程