MySQL- und SQL-Injection- und Präventionsmethoden

Bei der sogenannten SQL-Injection werden SQL-Befehle in Web-Formularübermittlungen eingefügt oder Domänennamen oder Abfragezeichenfolgen für Seitenanfragen eingegeben, wodurch der Server letztendlich dazu verleitet wird, bösartige SQL-Befehle auszuführen.

Wir sollten niemals Benutzereingaben vertrauen. Wir müssen feststellen, dass die vom Benutzer eingegebenen Daten nicht sicher sind.

​1. Im folgenden Beispiel muss der eingegebene Benutzername eine Kombination aus Buchstaben, Zahlen und Unterstrichen sein und der Benutzername muss zwischen 8 und 20 Zeichen lang sein:

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
 $result = mysql_query("SELECT * FROM users 
       WHERE username=$matches[0]");
}
 else
{
 echo "username 输入异常";
}

Werfen wir einen Blick auf die SQL-Situation, die auftritt, wenn Sonderzeichen nicht gefiltert werden:

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");

In der obigen Injektionsanweisung haben wir die Variable „$name“ nicht gefiltert. Eine unnötige SQL-Anweisung wurde in „$name“ eingefügt, wodurch alle Daten in der Benutzertabelle gelöscht werden.

2. Mysql_query() in PHP erlaubt nicht die Ausführung mehrerer SQL-Anweisungen, aber in SQLite und PostgreSQL können mehrere SQL-Anweisungen gleichzeitig ausgeführt werden, daher müssen wir die Daten dieser Benutzer streng überprüfen.

Um SQL-Injection zu verhindern, müssen wir auf die folgenden Punkte achten:

1. Vertrauen Sie niemals Benutzereingaben. Um die Eingabe des Benutzers zu überprüfen, können Sie reguläre Ausdrücke verwenden oder die Länge begrenzen; einfache Anführungszeichen und doppelte „-“ usw. konvertieren.
2. Verwenden Sie niemals die dynamische Assemblierung von SQL. Sie können parametrisiertes SQL verwenden oder direkt gespeicherte Prozeduren für die Datenabfrage und den Datenzugriff verwenden.
3. Verwenden Sie niemals eine Datenbankverbindung mit Administratorrechten. Verwenden Sie für jede Anwendung eine separate Datenbankverbindung mit eingeschränkten Rechten.
4. Speichern Sie vertrauliche Informationen nicht direkt, verschlüsseln oder hashen Sie Passwörter und sensible Informationen nicht.
5. Die Ausnahmeinformationen der Anwendung sollten so wenige Hinweise wie möglich geben. Am besten verwenden Sie benutzerdefinierte Fehlerinformationen, um die ursprünglichen Fehlerinformationen einzuschließen
6. SQL-Injection-Erkennungsmethoden verwenden im Allgemeinen Hilfssoftware oder Website-Plattformen zur Erkennung. Die Software verwendet im Allgemeinen das SQL-Injection-Erkennungstool jsky, und die Website-Plattform verfügt über das Yisi-Website-Sicherheitsplattform-Erkennungstool. MDCSOFT SCAN usw. Der Einsatz von MDCSOFT-IPS kann wirksam vor SQL-Injection, XSS-Angriffen usw. schützen.

​3. SQL-Injection verhindern

In Skriptsprachen wie Perl und PHP können Sie vom Benutzer eingegebene Daten maskieren, um eine SQL-Injection zu verhindern.

Die MySQL-Erweiterung von PHP bietet die Funktion mysql_real_escape_string(), um spezielle Eingabezeichen zu maskieren.

if (get_magic_quotes_gpc()) 
{
 $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");

​4.Injection in Like-Anweisung

Wenn bei einer solchen Abfrage die vom Benutzer eingegebenen Werte „_“ und „%“ enthalten, tritt diese Situation auf: Der Benutzer wollte ursprünglich nur „abcd_“ abfragen, aber die Abfrageergebnisse umfassen „abcd_“, „abcde“. , und „abcdf“ Warten; es treten auch Probleme auf, wenn Benutzer „30 %“ (Anmerkung: dreißig Prozent) abfragen möchten.

​In PHP-Skripten können wir die Funktion addcslashes() verwenden, um die obige Situation zu bewältigen, wie im folgenden Beispiel gezeigt:

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");

Die Funktion addcslashes() fügt vor dem angegebenen Zeichen einen Backslash ein.

Grammatikformat:

​addcslashes(string,characters)

Parameterbeschreibung

Zeichenfolge Erforderlich. Gibt die zu überprüfende Zeichenfolge an.

Zeichen optional. Gibt die Zeichen oder den Zeichenbereich an, die von addcslashes() betroffen sind.

Das obige ist der detaillierte Inhalt vonMySQL- und SQL-Injection- und Präventionsmethoden. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!