php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法:

  1. 使用mysql_real_escape_string函数
  2. 使用addslashes函数
  3. 使用mysql bind_param()

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:

$name=$_GET['name'];
$name=mysql_real_escape_string($name);
$sql="select *from table where name like '%$name%'";

当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时,sql语句输出为:

SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
 {
 $value = stripslashes($value);
 }
// 如果不是数字则加引号
/* http://www.manongjc.com/article/1242.html */
if (!is_numeric($value))
 {
 $value = "'" . mysql_real_escape_string($value) . "'";
 }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
 die('Could not connect: ' . mysql_error());
 }

// 进行安全的 SQL
mysql_set_charset('utf-8');
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。

addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

echo addcslashes('foo[ ]','a..z'); //输出:foo[ ]
$str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符
echo addslashes($str); //输出经过转义的字符串

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数,给大家举个例子:

<?php
$username = "aaa";
$pwd = "pwd";
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql;
?>

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

<?php
/**
 * 模拟简单的绑定参数过程
 *
 * @param string $sql  SQL语句
 * @param int $location 问号位置
 * @param mixed $var   替换的变量
 * @param string $type  替换的类型
 */
$times = 0;
//这里要注意,因为要“真正的"改变$sql的值,所以用引用传值
function bindParam(&$sql, $location, $var, $type) {
  global $times;
  //确定类型
  switch ($type) {
    //字符串
    default:          //默认使用字符串类型
    case 'STRING' :
      $var = addslashes($var); //转义
      $var = "'".$var."'";   //加上单引号.SQL语句中字符串插入必须加单引号
      break;
    case 'INTEGER' :
    case 'INT' :
      $var = (int)$var;     //强制转换成int
    //还可以增加更多类型..
  }
  //寻找问号的位置
  for ($i=1, $pos = 0; $i<= $location; $i++) {
    $pos = strpos($sql, '?', $pos+1);
  }
  //替换问号
  $sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);
}
?>

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

<?php
$times = 0;
$username = "aaaa";
$pwd = "123";
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, 'INT');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql; //输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123
?>

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

<?php
$times = 0;
$username = "aaa";
$pwd = "fdsafda' or '1'='1";
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'
?>

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

 总结:

上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

(0)

相关推荐

  • js中字符串编码函数escape()、encodeURI()、encodeURIComponent()区别详解

    JavaScript中有三个可以对字符串编码的函数,分别是: escape,encodeURI,encodeURIComponent,相应3个解码函数: unescape,decodeURI,decodeURIComponent . 下面简单介绍一下它们的区别 1 escape()函数 定义和用法 escape() 函数可对字符串进行编码,这样就可以在所有的计算机上读取该字符串. 语法 escape(string) 参数 描述 string 必需.要被转义或编码的字符串. 返回值 已编码的 st

  • js中编码函数:escape,encodeURI与encodeURIComponent详解

    1.eacape(): 该方法不会对 ASCII 字母和数字进行编码,也不会对下面这些 ASCII 标点符号进行编码: * @ - _ + . / .其他所有的字符都会被转义序列替换.其它情况下escape,encodeURI,encodeURIComponent编码结果相同. escape对0-255以外的unicode值进行编码时输出%u****格式 可以使用 unescape() 对 escape() 编码的字符串进行解码. ECMAScript v3 反对使用该方法,应用使用 decod

  • PHP解密Unicode及Escape加密字符串

    本文给大家分享一个PHP解密Unicode及Escape加密字符串函数 <?php function uni_decode($s) { preg_match_all('/\&\#([0-9]{2,5})\;/', $s, $html_uni); preg_match_all('/[\\\%]u([0-9a-f]{4})/ie', $s, $js_uni); $source = array_merge($html_uni[0], $js_uni[0]); $js = array(); for(

  • Java实现JS中的escape和UNescape代码分享

    众所周知,JavaScript中escape() 函数可对字符串进行编码,这样就可以在所有的计算机上读取该字符串.下面,我们就来看看 Java语言中类似JavaScript中的escape() 和unescape() 转码方法,具体代码如下: public class EscapeUnescape { public static String escape(String src) { int i; char j; StringBuffer tmp = new StringBuffer(); tm

  • SQL中使用ESCAPE定义转义符详解

    使用ESCAPE定义转义符 在使用LIKE关键字进行模糊查询时,"%"."_"和"[]"单独出现时,会被认为是通配符.为了在字符数据类型的列中查询是否存在百分号 (%).下划线(_)或者方括号([])字符,就需要有一种方法告诉DBMS,将LIKE判式中的这些字符看作是实际值,而不是通配符.关键字 ESCAPE允许确定一个转义字符,告诉DBMS紧跟在转义字符之后的字符看作是实际值.如下面的表达式: LIKE '%M%' ESCAPE 'M' 使用E

  • python对html代码进行escape编码的方法

    本文实例讲述了python对html代码进行escape编码的方法.分享给大家供大家参考.具体分析如下: python包含一个cgi模块,该模块有一个escape函数可以用来对html代码进行编码转换 import cgi s1 = "Hello <strong>world</strong>" s2 = cgi.escape(s1) assert s2 == "Hello <strong>world</strong>"

  • mysql_escape_string()函数用法分析

    本文实例讲述了mysql_escape_string()函数用法.分享给大家供大家参考,具体如下: 使用 mysql_escape_string() 对查询中有疑问的数据进行编码: 有一些数据例如: char query(1024); sprintf (query, "select * from my_tbl where name = '%s'",name); 如果这个时候,name 中包含了如: "0'Malley,Brian" 这样的数据就会产生这样的查询语句:

  • php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

    php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击 php防止SQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别. mysql_real_escape_string防sql注入攻击 mysql_real_escape_string() 函数转义 SQL 语句中

  • mybatis注解动态sql注入map和list方式(防sql注入攻击)

    目录 网上的教程 我的教程(防sql注入攻击) 注入Map 注入List 封装foreach mybatis防止sql注入的循环map写法 网上的教程 配置xml 注解中写xml脚本@Select() 使用Java类中的Java方法拼写sql语句(不防sql注入攻击的纯字符串拼接) 我的教程(防sql注入攻击) 注入Map Mapper层代码 @Repository public interface ManageMapper { @SelectProvider(type = ManageProv

  • ADO.NET防SQL注入与使用参数增删改查

    一.sql注入风险及解决方案 SQL注入是指在事先定义好的SQL语句中注入额外的SQL语句,从此来欺骗数据库服务器的行为. 示例:制作会员登录功能. 登录按钮代码如下: private void btLogin_Click(object sender, EventArgs e) { //1-定义连接字符串 string connStr = "server=.;database=DBTEST;uid=sa;pwd=123456"; //2-定义连接对象,打开连接 SqlConnectio

  • PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

    本文实例讲述了PHP实现表单提交数据的验证处理功能.分享给大家供大家参考,具体如下: 防XSS攻击代码: /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string); $string = str_replace('%2527',

  • C#防SQL注入代码的三种方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点要素. 一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便. 二:如果用SQL语句,那就使用参数化,添加Param 三:尽可能的使用存储过程,安全性能高而且处理速度也快 四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的.所以要找到对所有文件起作用的办法.我在网上

  • 防SQL注入 生成参数化的通用分页查询语句

    使用这种通用的存储过程进行分页查询,想要防SQL注入,只能对输入的参数进行过滤,例如将一个单引号"'"转换成两个单引号"''",但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效防SQL注入,只有参数化查询才是最终的解决方案.但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的.但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写一个分页存储过程

  • .Net防sql注入的几种方法

    防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: 着重记录下服务端进行sql关键词检测: 1.sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = "select|insert|delete|from|count(

  • java 过滤器filter防sql注入的实现代码

    实例如下: XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证; flag = false 做所有字段的验证; boolean flag = true; if(flag){ //只

  • 在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

    首先,创建一个SQLInjectionHelper类完成恶意代码的检查 代码如下: 复制代码 代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Text.RegularExpressions; /// <summary> ///SQLInjectionHelper 的摘要说明 /// </summary> public cla

  • jquery过滤特殊字符',防sql注入的实现方法

    今天写的代码给项目经理看了下,因为之前没有考虑sql注入的问题,然后在他测试我的code的时候,打了一个"'",然后我的程序就挂了! 于是乎,我在网上找到了一个验证并过滤文本框的jquery! 先上图: PS:这里用@#测试,因为'太小了,都看不清楚了! 具体的jquery代码: <script type="text/javascript" language="javascript"> $(document).ready(functi

随机推荐