Heim > Artikel > Backend-Entwicklung > Zusammenfassung der Methoden zur Verhinderung der SQL-Injection in PHP
So verhindern Sie die SQL-Injection in PHP
[1. Konfiguration auf der Serverseite]
Sicherheit, das Schreiben von PHP-Code ist ein Aspekt und die PHP-Konfiguration ist sehr wichtig.
Wir haben PHP manuell installiert. Die Standardkonfigurationsdatei von PHP befindet sich in /usr/local/apache2/conf/php.ini. Unser Wichtigstes ist, den Inhalt in PHP zu konfigurieren. ini, was uns eine sicherere Ausführung von PHP ermöglicht. Die Sicherheitseinstellungen im gesamten PHP dienen hauptsächlich dazu, Angriffe durch PHPShell und SQL-Injection zu verhindern. Lassen Sie uns das langsam besprechen. Wir verwenden zunächst ein beliebiges Bearbeitungstool, um /etc/local/apache2/conf/php.ini zu öffnen. Wenn Sie es auf andere Weise installieren, befindet sich die Konfigurationsdatei möglicherweise nicht in diesem Verzeichnis.
(1) Aktivieren Sie den abgesicherten Modus von PHP
Der abgesicherte Modus von PHP ist ein sehr wichtiger integrierter Sicherheitsmechanismus, der einige Funktionen in PHP steuern kann, wie z. B.system(),
steuert auch die Berechtigungen vieler Dateioperationsfunktionen und lässt bestimmte Schlüsseldateien wie /etc/passwd,
nicht zu, sondern das Standard-PHP. ini schaltet den abgesicherten Modus nicht ein, wir schalten ihn ein:
safe_mode = on
(2) Benutzergruppensicherheit
Wenn Safe_Mode eingeschaltet ist, ist Safe_Mode_gid dann ausgeschaltet Das PHP-Skript kann auf die Datei zugreifen, und Benutzer in derselben
-Gruppe können ebenfalls auf die Datei zugreifen.
Es wird empfohlen, Folgendes festzulegen:
safe_mode_gid = off
Wenn es nicht festgelegt ist, können wir die Dateien im Verzeichnis unserer Server-Website möglicherweise nicht bedienen, wenn wir sie beispielsweise benötigen Dateien.
(3) Home-Verzeichnis zum Ausführen von Programmen im abgesicherten Modus
Wenn der abgesicherte Modus aktiviert ist, Sie aber bestimmte Programme ausführen möchten, können Sie das auszuführende Programm angeben ausgeführtes Hauptverzeichnis:
safe_mode_exec_dir = D:/usr/bin
Im Allgemeinen besteht keine Notwendigkeit, ein Programm auszuführen. Daher wird empfohlen, das Systemprogrammverzeichnis nicht auszuführen. Sie können auf ein Verzeichnis
verweisen und es dann kopieren das Programm, das ausgeführt werden muss, zum Beispiel:
safe_mode_exec_dir = D:/tmp/cmd
Ich empfehle jedoch, kein Programm auszuführen, dann können Sie auf unser Webverzeichnis verweisen:
safe_mode_exec_dir = D:/usr/www
(4) Dateien im abgesicherten Modus einschließen
Wenn Sie einige öffentliche Dateien im abgesicherten Modus einschließen möchten, ändern Sie die Optionen:
safe_mode_include_dir = D:/usr/www/include/
Tatsächlich im Allgemeinen die in PHP enthaltenen Dateien Skripte wurden vom Programm selbst geschrieben. Diese können je nach Bedarf eingestellt werden.
(5) Steuern Sie die Verzeichnisse, auf die PHP-Skripte zugreifen können
Verwenden Sie die Option open_basedir, um zu steuern, dass PHP-Skripte nur auf bestimmte Verzeichnisse zugreifen können, was PHP-Skripte daran hindern kann Der Zugriff auf
Dateien, auf die nicht zugegriffen werden sollte, begrenzt den Schaden von PHPShell bis zu einem gewissen Grad. Wir können es generell so einstellen, dass nur auf das Website-Verzeichnis zugegriffen wird:
open_basedir = D:/usr/www
(6) Ausschalten gefährliche Funktionen
Wenn der abgesicherte Modus aktiviert ist, ist ein Funktionsverbot nicht erforderlich, wir erwägen dies jedoch aus Sicherheitsgründen. Zum Beispiel
haben wir das Gefühl, dass wir keine PHP-Funktionen ausführen möchten, einschließlich system(), die Befehle ausführen können, oder Funktionen wie
phpinfo(), die PHP-Informationen anzeigen können, dann wir Sie können sie deaktivieren:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
Wenn Sie Datei- und Verzeichnisoperationen verbieten möchten, können Sie viele Dateioperationen schließen
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
Das Obige ist nur eine Liste einiger nicht häufig verwendeter Dateiverarbeitungsfunktionen. Sie können auch die obige Ausführungsbefehlsfunktion mit dieser Funktion kombinieren,
kann den meisten PHP-Shells widerstehen.
(7) Schließen Sie den Verlust von PHP-Versionsinformationen im http-Header
Um zu verhindern, dass Hacker an die PHP-Versionsinformationen gelangen Auf dem Server können wir die Informationen im HTTP-Header deaktivieren:
expose_php = Off
Wenn ein Hacker beispielsweise telnet www.12345.com 80, kann er die PHP-Informationen nicht sehen.
(8) Registrierung globaler Variablen deaktivieren
Variablen, die in PHP übermittelt werden, einschließlich Variablen, die mit POST oder GET übermittelt werden, werden automatisch als globale Variablen registriert kann direkt zugegriffen werden.
Dies ist für den Server sehr unsicher, daher können wir nicht zulassen, dass es als globale Variable registriert wird, daher deaktivieren wir die Option zur Registrierung globaler Variablen:
register_globals = Off
Wenn dies festgelegt ist, müssen Sie natürlich eine vernünftige Methode verwenden, um die entsprechende Variable abzurufen, z. B. das Abrufen der von GET übermittelten Variablen var.
Dann müssen Sie $_GET['var verwenden '] Um es zu erhalten, sollten PHP-Programmierer darauf achten.
(9) Aktivieren Sie magic_quotes_gpc, um SQL-Injection zu verhindern
SQL-Injection ist ein sehr gefährliches Problem. In kleinen Fällen wird das Backend der Website angegriffen in schwerwiegenderen Fällen fällt der gesamte Server aus.
Also seien Sie vorsichtig. Es gibt eine Einstellung in php.ini:
magic_quotes_gpc = Off
Diese ist standardmäßig deaktiviert. Wenn sie aktiviert ist, werden vom Benutzer übermittelte SQL-Abfragen automatisch konvertiert,
zum Beispiel „konvertieren“. zu 'usw., was eine wichtige Rolle bei der Verhinderung der SQL-Injection spielt. Daher empfehlen wir die Einstellung auf:
magic_quotes_gpc = On
(10) Fehlermeldungssteuerung
Im Allgemeinen gibt PHP einen Fehler aus, wenn es nicht mit der Datenbank oder darunter verbunden ist andere Umstände. Allgemeine Fehlermeldungen Das PHP-Skript wird eingebunden
前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:
display_errors = Off
如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
当然,我还是建议关闭错误提示。
(11) 错误日志
建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:
log_errors = On
同时也要设置错误日志存放的目录,建议根apache的日志存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:给文件必须允许apache用户的和组具有写的权限。
MYSQL的降权运行
新建立一个用户比如mysqlstart
net user mysqlstart fuckmicrosoft /add net localgroup users mysqlstart /del
不属于任何组
如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限
然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。
重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
【二、在PHP代码编写】
防止SQL Injection (sql注射)
SQL 注射应该是目前程序危害最大的了,包括最早从asp到php,基本上都是国内这两年流行的技术,基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句,导致重要数据被窃取、数据丢失或者损坏,或者被入侵到后台管理。
那么我们既然了解了基本的注射入侵的方式,那么我们如何去防范呢?这个就应该我们从代码去入手了。
我们知道Web上提交数据有两种方式,一种是get、一种是post,那么很多常见的sql注射就是从get方式入手的,而且注射的语句里面一定是包含一些sql语句的,因为没有sql语句,那么如何进行,sql语句有四大句:select 、update、delete、insert,那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢?
于是我们使用正则就构建如下函数:
PHP代码
<?php function inject_check($sql_str) { return eregi('select|insert|update|delete|'| function verify_id($id=null) { if (!$id) { exit('没有提交参数!'); } // 是否为空判断 elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断 elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断 $id = intval($id); // 整型化 return $id; } ?>
那么我们就能够进行校验了,于是我们上面的程序代码就变成了下面的:
<?php if (inject_check($_GET['id'])) { exit('你提交的数据非法,请检查后重新提交!'); } else { $id = verify_id($_GET['id']); // 这里引用了我们的过滤函数,对$id进行过滤 echo '提交的数据合法,请继续!'; } ?>
好,问题到这里似乎都解决了,但是我们有没有考虑过post提交的数据,大批量的数据呢?
比如一些字符可能会对数据库造成危害,比如 ' _ ', ' %',这些字符都有特殊意义,那么我们如果进行控制呢?还有一点,就是当我们的php.ini里面的magic_quotes_gpc = off的时候,那么提交的不符合数据库规则的数据都是不会自动在前面加' '的,那么我们要控制这些问题,于是构建如下函数:
<?php function str_check( $str ) { if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开 { $str = addslashes($str); // 进行过滤 } $str = str_replace("_", "\_", $str); // 把 '_'过滤掉 $str = str_replace("%", "\%", $str); // 把' % '过滤掉 return $str; } ?>
最后,再考虑提交一些大批量数据的情况,比如发贴,或者写文章、新闻,我们需要一些函数来帮我们过滤和进行转换,再上面函数的基础上,我们构建如下函数:
<?php function post_check($post) { if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开 { $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 } $post = str_replace("_", "\_", $post); // 把 '_'过滤掉 $post = str_replace("%", "\%", $post); // 把' % '过滤掉 $post = nl2br($post); // 回车转换 $post= htmlspecialchars($post); // html标记转换 return $post; } ?>
注:关于SQL注入,不得不说的是现在大多虚拟主机都会把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。但如果你编写的是通用软件,则需要读取服务器的magic_quotes_gpc后进行相应处理。
更多PHP相关知识,请访问PHP中文网!
Das obige ist der detaillierte Inhalt vonZusammenfassung der Methoden zur Verhinderung der SQL-Injection in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!