[MySQL-Tutorial] MySQL- und SQL-Injection

MySQL und SQL-Injection

Wenn Sie vom Benutzer eingegebene Daten über eine Webseite erhalten und diese in eine MySQL-Datenbank einfügen, können Sicherheitsprobleme bei der SQL-Injection auftreten.

In diesem Kapitel erfahren Sie, wie Sie die SQL-Injection verhindern und Skripte verwenden, um in SQL injizierte Zeichen zu filtern.

Bei der sogenannten SQL-Injection werden SQL-Befehle in Webformularübermittlungen eingefügt oder Domänennamen oder Abfragezeichenfolgen für Seitenanfragen eingegeben, wodurch der Server letztendlich dazu verleitet wird, bösartige SQL-Befehle auszuführen.

Wir sollten niemals Benutzereingaben vertrauen. Wir müssen davon ausgehen, dass die vom Benutzer eingegebenen Daten nicht sicher sind.

Im folgenden Beispiel muss der eingegebene Benutzername eine Kombination aus Buchstaben, Zahlen und Unterstrichen sein und der Benutzername muss zwischen 8 und 20 Zeichen lang sein:

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
   $result = mysql_query("SELECT * FROM users 
                          WHERE username=$matches[0]");
}
 else 
{
   echo "username 输入异常";
}

Nehmen wir mal Schauen Sie sich die folgende SQL-Situation an, wenn Sonderzeichen nicht gefiltert werden:

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");

In der obigen Injektionsanweisung haben wir die Variable von $name nicht gefiltert und eine SQL-Anweisung eingefügt, die wir nicht benötigten in $name löschen. Alle Daten in der Benutzertabelle löschen.

Mysql_query() in PHP darf nicht mehrere SQL-Anweisungen ausführen, aber in SQLite und PostgreSQL können mehrere SQL-Anweisungen gleichzeitig ausgeführt werden, daher müssen wir die Daten dieser Benutzer streng überprüfen.

Um SQL-Injection zu verhindern, müssen wir auf die folgenden Punkte achten:

1. Vertrauen Sie niemals Benutzereingaben. Um die Eingabe des Benutzers zu überprüfen, können Sie reguläre Ausdrücke verwenden oder die Länge begrenzen; einfache Anführungszeichen und doppelte „-“ usw. konvertieren.

2. Verwenden Sie niemals die dynamische Assemblierung von SQL. Sie können parametrisierte SQL-Anweisungen oder direkt gespeicherte Prozeduren für die Datenabfrage und den Datenzugriff verwenden.

3. Verwenden Sie niemals eine Datenbankverbindung mit Administratorrechten. Verwenden Sie für jede Anwendung eine separate Datenbankverbindung mit eingeschränkten Rechten.

v 4. Speichern Sie vertrauliche Informationen nicht direkt, verschlüsseln oder hashen Sie Passwörter und sensible Informationen nicht.

5. Die Ausnahmeinformationen der Anwendung sollten so wenige Eingabeaufforderungen wie möglich enthalten. Es ist am besten, benutzerdefinierte Fehlerinformationen zu verwenden, um die ursprüngliche Fehlermeldung zu verpacken Zur Erkennung wird im Allgemeinen eine Hilfssoftware oder Website-Plattform verwendet. Die Software verwendet im Allgemeinen das SQL-Injection-Erkennungstool jsky, und die Website-Plattform verfügt über das Erkennungstool der Yisi-Website-Sicherheitsplattform. MDCSOFT SCAN usw. Der Einsatz von MDCSOFT-IPS kann wirksam vor SQL-Injection, XSS-Angriffen usw. schützen.

SQL-Injection verhindern

In Skriptsprachen wie Perl und PHP können Sie vom Benutzer eingegebene Daten maskieren, um SQL-Injection zu verhindern.

Die MySQL-Erweiterung von PHP bietet die Funktion mysql_real_escape_string(), um spezielle Eingabezeichen zu maskieren.

Injektion in Like-Anweisung

if (get_magic_quotes_gpc()) 
{
  $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");

Wenn bei der Abfrage von Like die vom Benutzer eingegebenen Werte „_“ und „%“ enthalten, tritt diese Situation auf: Der Benutzer hat ursprünglich nur wollte „abcd_“ abfragen, aber es gibt „abcd_“, „abcde“, „abcdf“ usw. in den Abfrageergebnissen; es treten auch Probleme auf, wenn der Benutzer „30 %“ abfragen möchte (Hinweis: dreißig Prozent).

In PHP-Skripten können wir die Funktion addcslashes() verwenden, um die obige Situation zu behandeln, wie im folgenden Beispiel gezeigt:

Die Funktion addcslashes() fügt einen Backslash vor dem angegebenen hinzu Charakter.

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'")

Syntaxformat:

addcslashes(string,characters)

Parameter

Beschreibung

Zeichenfolge Erforderlich. Gibt die zu überprüfende Zeichenfolge an.

Zeichen optional. Gibt die Zeichen oder den Zeichenbereich an, die von addcslashes() betroffen sind.

Für bestimmte Anwendungen können Sie Folgendes anzeigen: PHP addcslashes()-Funktion

Das Obige ist der Inhalt von [MySQL-Tutorial] MySQL- und SQL-Injection. Weitere verwandte Inhalte finden Sie unter PHP chinesische Website (www.php.cn)!