Heim  >  Artikel  >  Backend-Entwicklung  >  PHP 开发中有效防御 SQL 注入攻击有哪些好方法?

PHP 开发中有效防御 SQL 注入攻击有哪些好方法?

WBOY
WBOYOriginal
2016-06-06 16:44:171118Durchsuche

回复内容:

没有编译就没有注入,避免提交上来的数据被编译就可以了,参数绑定就是避免提交数据被编译的方法。 使用PDO或者MySQLi,有很多封装好的方便的Class。
例如使用PHP-PDO-MySQL-Class · GitHub(这个Class使用上比较类似Python的MySQLdb)的话,这样就是安全的:
<code class="language-php"><span class="cp"><?php </span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM fruit WHERE name IN (?)"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm1'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm2'</span><span class="p">]));</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM users WHERE name=? and password=?"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'name'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pw'</span><span class="p">]));</span>
<span class="cp">?></span><span class="x"></span>
</span></code>
防SQL注入最好的方法就是千万不要自己拼装SQL命令和参数, 而是用PDO的prepare和bind.
原理就在于要把你的SQL查询命令和传递的参数分开:
> prepare的时候, DB server会把你的SQL语句解析成SQL命令.
> bind的时候, 只是动态传参给DB Server解析好的SQL命令.

其他所有的过滤特殊字符串这种白名单的方式都是浮云. 仅仅防止sql注入的话,使用mysqli或者PDO的预编译就行了。用框架的话,要留意框架内部是怎么处理的。拼接sql语句这种做法早就该进历史的垃圾堆了。

此外PDO的预编译有个bug,在5.3.6之前还是会默认调用mysql_*进行拼接,需要设置$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);。 prepare && bind 一下即可。 简单来说,仅仅对于PHP程序的SQL注入,对输入输出的数据进行安全过滤是最主要的方法。
当然说起来简单,真正要做到很复杂,要考虑的细节和因素很多,包括编码、类型、前后逻辑等等,一个处理不慎,反而会弄巧成拙。
因此要做到程序尽可能的安全,需要程序员具有一定的安全意识和知识,从程序的最底层构建上就把安全因素考虑进去。
个人认为国内PHP安全圈的水准还是相当高的,各方面的资料也很多,推荐两个网站,里面有很多相关的资料,有兴趣的可以参考学习下:
80vul.com
bbs.wolvez.org 一律不能直接使用外来的参数,不要直接构造查询语句,使用statement进行参数填充等等 1、不要随意开启生产环境中Webserver的错误显示。
2、永远不要信任来自用户端的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的SQL语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

来自 「Web安全之SQL注入攻击技巧与防范」。 给两个办法,匈牙利命名法、注入尝试探测

别瞧不起匈牙利命名法,这货的原意可不是你以为的傻瓜一样在变量名后加上类型名。真正的做法是:未做escape过滤的字符串命令按照你自己的习惯命名,escape后的字符串加上类似_f或_ss这样的suffix。习惯后在写代码的时候自然就会要求传入的字符串都是过滤过的。

注入尝试探测则比较简单:作为黑客来说如果需要进行攻击,会进行多次注入尝试,期间几乎可以肯定会构造出一个无效的sql语句,执行时就会报错了。自己写个数据库的query函数进行封装,如果发现有执行无效的sql语句则通过邮件或其他形式进行报警。

当然…担心SQL注入,都是用拼接字符串做SQL查询的土鳖程序员。正常的程序员会去找个ORM用。 我采用的方法是:
1.对团队成员进行安全培训,找出最常见的攻击方法逐个指导代码内屏蔽方式
2.用nginx之类的反向代理进行url参数过滤,基本能挡住90%的攻击
3.对磁盘文件进行高度权限设定
4.计划任务的脚本对程序源代码定期(比如每小时)执行遍历搜索,一般水平的攻击,都逃不过这个排查
5.对nginx过滤出的危险url进行程序自动分析,对于超过阈值的ip直接防火墙屏蔽
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn