Heim  >  Artikel  >  Datenbank  >  Detaillierte Einführung in die Injektions- und Präventionsmethoden von MySQL und SQL

Detaillierte Einführung in die Injektions- und Präventionsmethoden von MySQL und SQL

黄舟
黄舟Original
2017-03-09 11:08:461208Durchsuche

In diesem Artikel werden hauptsächlich MySQL- und SQL-Injektions- und Präventionsmethoden im Detail vorgestellt. Es hat einen sehr guten Referenzwert. Wenn Sie es benötigen, können Sie darauf zurückgreifen

Die sogenannte SQL-Injection besteht darin, SQL-Befehle in Webformularübermittlungen einzufügen oder Abfragezeichenfolgen für Domänennamen oder Seitenanforderungen einzugeben. und letztendlich den Server dazu verleiten, einen böswilligen SQL-Befehl auszuführen.

Wir sollten niemals Benutzereingaben vertrauen. Wir müssen feststellen, dass die vom Benutzer eingegebenen Daten nicht sicher sind.

1. Im folgenden Beispiel muss der eingegebene Benutzername eine Kombination aus Buchstaben, Zahlen und Unterstrichen sein und der Benutzername muss zwischen 8 und 20 Zeichen lang sein:

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
 $result = mysql_query("SELECT * FROM users 
       WHERE username=$matches[0]");
}
 else
{
 echo "username 输入异常";
}

Werfen wir einen Blick auf die SQL-Situation, die auftritt, wenn Sonderzeichen nicht gefiltert werden:

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");

In der obigen Injektionsanweisung haben wir die Variable „$name“ nicht gefiltert. Eine unnötige SQL-Anweisung wurde in „$name“ eingefügt, wodurch alle Daten in der Benutzertabelle gelöscht werden.

2. Mysql_query() in PHP erlaubt nicht die Ausführung mehrerer SQL-Anweisungen, aber in SQLite und PostgreSQL können mehrere SQL-Anweisungen gleichzeitig ausgeführt werden, daher müssen wir die Daten dieser Benutzer streng überprüfen.

Um SQL-Injection zu verhindern, müssen wir auf die folgenden Punkte achten:

1. Vertrauen Sie niemals Benutzereingaben. Um die Eingabe des Benutzers zu überprüfen, können Sie reguläre Ausdrücke verwenden oder die Länge begrenzen; einfache Anführungszeichen und doppelte „-“ usw. konvertieren.
2. Verwenden Sie niemals die dynamische Assemblierung von SQL. Sie können parametrisiertes SQL verwenden oder direkt gespeicherte Prozeduren für die Datenabfrage und den Datenzugriff verwenden.
3. Verwenden Sie niemals eine Datenbankverbindung mit Administratorrechten. Verwenden Sie für jede Anwendung eine separate Datenbankverbindung mit eingeschränkten Rechten.
4. Speichern Sie vertrauliche Informationen nicht direkt, verschlüsseln oder hashen Sie Passwörter und sensible Informationen nicht.
5. Die Ausnahmeinformationen der Anwendung sollten so wenige Hinweise wie möglich geben. Am besten verwenden Sie benutzerdefinierte Fehlerinformationen, um die ursprünglichen Fehlerinformationen einzuschließen
6. SQL-Injection-Erkennungsmethoden verwenden im Allgemeinen Hilfssoftware oder Website-Plattformen zur Erkennung. Die Software verwendet im Allgemeinen das SQL-Injection-Erkennungstool jsky, und die Website-Plattform verfügt über das Yisi-Website-Sicherheitsplattform-Erkennungstool. MDCSOFT SCAN usw. Der Einsatz von MDCSOFT-IPS kann wirksam vor SQL-Injection, XSS-Angriffen usw. schützen.

3. SQL-Injection verhindern

In Skriptsprachen wie Perl und PHP können Sie vom Benutzer eingegebene Daten maskieren, um eine SQL-Injection zu verhindern.

Die MySQL-Erweiterung von PHP bietet die Funktion mysql_real_escape_string(), um spezielle Eingabezeichen zu maskieren.

if (get_magic_quotes_gpc()) 
{
 $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");

4.Injection in Like-Anweisung

Wenn bei einer solchen Abfrage die vom Benutzer eingegebenen Werte „_“ und „%“ enthalten, tritt diese Situation auf: Der Benutzer wollte ursprünglich nur „abcd_“ abfragen, aber die Abfrageergebnisse umfassen „abcd_“, „abcde“. , und „abcdf“ Warten; es treten auch Probleme auf, wenn Benutzer „30 %“ (Anmerkung: dreißig Prozent) abfragen möchten.

​In PHP-Skripten können wir die Funktion addcslashes() verwenden, um die obige Situation zu bewältigen, wie im folgenden Beispiel gezeigt:

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");

Die Funktion addcslashes() fügt vor dem angegebenen Zeichen einen Backslash ein.

Grammatikformat:

  addcslashes(string,characters)

Parameterbeschreibung

Zeichenfolge Erforderlich. Gibt die zu überprüfende Zeichenfolge an.

Zeichen optional. Gibt die Zeichen oder den Zeichenbereich an, die von addcslashes() betroffen sind.


Das obige ist der detaillierte Inhalt vonDetaillierte Einführung in die Injektions- und Präventionsmethoden von MySQL und SQL. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn