使用php函数防止SQL注入方法

什么是SQL注入?

SQL注入是指在你系统防御之外,某人将一段Mysql语句注入到你的数据库。注入通常发生在系统要求用户输入数据的时候,比如用户名的输入,用户可能输入的不是一个用户名,而是一段SQL语句,这个语句可能就会不知不觉地运行在你的数据库中。

SQL注入实例

$name = $_POST['username'];
$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";

如同你看到的,用户输入的值会通过url参数分配给变量$name,然后直接放置到sql语句中。这意味着用户是有可能编辑sql语句的。

$name = "admin' OR 1=1 -- ";
$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";
sql数据库最后会接收到下面的这一段sql语句:
SELECT * FROM `tbl_name` WHERE `name`='admin' OR 1=1 --';
在Mysql中- -表示忽略掉后面所有的内容,就是注释掉后面所有内容。这是有效的SQL语句,而且执行结果不是返回当前用户数据,而是将返回所有数据表(table_name)中的所有数据。这是任何人都不希望在他们的web应用程序中出现。下面将会教你如何防止这种类型的漏洞。
那么,如何简单防止Mysql注入?

这个问题已经被知道了一段时间,PHP有一个特制的功能以防止这些攻击。所有你需要做的就是使用一个函数mysql_real_escape_string()。

mysql_real_escape_string所做的是把一个输入的字符串,在MySQL查询时将它处理为用户输入的真实字符串,来防止SQL注入。有点绕,基本上,就是将用户输入可能引起Mysql安全隐患的字符串比如单引号('),用逃脱引用来表示\ '。

将这个函数应用到上面那个可能被注入的例子中:

$name = mysql_real_escape_string($_POST['username']);
$query = "SELECT * FROM `tbl_name` WHERE `name` = '$name' ";
这里要十分小心的是,mysql_real_escape_string要先成功地通过mysql_connect连接到mysql server上以后才能正常使用,如果数据库
还没连接直接使用这个函数会报错。上面经过函数转化后,$query最后打印出来的语句为:
SELECT * FROM `tbl_name` WHERE `name`='admin\' OR 1=1 -- ';

也就是说上面那个admin后面的单引号(')被转义为真实的输入字符,不再和admin前的字符进行匹配,admin前的单引号将和字符串–后面的单引号进行匹配。

让我们创建一个通用的函数,你可以用任何名字来命名它,在这里,我要将它命名为"mres":

function mres($var){
    if (get_magic_quotes_gpc()){
        $var = stripslashes(trim($var));
    }
    return mysql_real_escape_string(trim($var));
}
现在,可以把函数简化成下面这个样子:
$name = mres($_POST['username']);
$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";
 
posted @ 2018-01-26 13:45  Func~  阅读(1343)  评论(0编辑  收藏  举报