php中防止sql注入的解决方法总结
sql注入***是******网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入***。SQL注入***通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。
为了防止SQL注入***,PHP自带一些函数可以对输入的字符串进行处理,例如PHP的MySQL操作函数中有addslashes()、mysql_real_escape_string()、mysql_escape_string()等函数,可将特殊字符和可能引起数据库操作出错的字 符转义。那么这三个功能函数之间有什么却别呢?下面我们就来详细讲述下。
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集
使用方法如下:
$sql="select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='".mysql_real_escape_string($pw)."' limit 1"; 使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。
(2)addslashes防止SQL注入
虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于***可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
(3) 打开magic_quotes_gpc来防止SQL注入
php.ini中有一个设置:magic_quotes_gpc = Off
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
比如把 ' 转为 \'等,对于防止sql注射有重大作用。
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。
if (!get_magic_quotes_gpc()) { $lastname = addslashes($_POST[‘lastname’]); } else { $lastname = $_POST[‘lastname’]; } 再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。
(4)自定义函数
functioninject_check($sql_str){ returneregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str); } functionverify_id($id=null){ if(!$id){ exit('没有提交参数!'); }elseif(inject_check($id)){ exit('提交的参数非法!'); }elseif(!is_numeric($id)){ exit('提交的参数非法!'); } $id=intval($id); return$id; } functionstr_check($str){ if(!get_magic_quotes_gpc()){ $str=addslashes($str);// 进行过滤 } $str=str_replace("_","\_",$str); $str=str_replace("%","\%",$str); return$str; } functionpost_check($post){ if(!get_magic_quotes_gpc()){ $post=addslashes($post); } $post=str_replace("_","\_",$post); $post=str_replace("%","\%",$post); $post=nl2br($post); $post=htmlspecialchars($post); return$post; } 总结一下:
addslashes() 是强行加;
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;mysql_escape_string不考虑连接的当前字符集。
dz 中的防止sql注入就是用addslashes这个函数,同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace(/&((#(d{3,5}|x{4}));)/, &\1,这个替换解决了注入的问题,同时也解决了中文乱码的一些问题。
页:
[1]