简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
기사
Q&A
강의
주제
다운로드
게임
사전
최근 업데이트

 >  기사  >  백엔드 개발  >  여러 Anti-SQL 주입 공격 기능의 차이점

여러 Anti-SQL 주입 공격 기능의 차이점

青灯夜游
青灯夜游앞으로
2020-04-07 09:31:473066검색

여러 Anti-SQL 주입 공격 기능의 차이점

SQL 주입 공격은 해커가 웹사이트를 공격하기 위해 사용하는 가장 일반적인 방법입니다. 귀하의 사이트가 엄격한 사용자 입력 유효성 검사를 사용하지 않는 경우 SQL 주입 공격에 취약한 경우가 많습니다. SQL 주입 공격은 일반적으로 잘못된 데이터나 쿼리 문을 사이트 데이터베이스에 제출하여 구현되며, 이로 인해 데이터베이스의 기록이 노출, 변경 또는 삭제될 수 있습니다.

SQL 주입 공격을 방지하기 위해 PHP에는 입력 문자열을 처리하고 하위 수준에서 입력에 대해 사전 보안 처리를 수행할 수 있는 기능, 즉 Magic Quotes가 제공됩니다. (php.ini Magic_quotes_gpc). Magic_quotes_gpc 옵션이 활성화된 경우 입력 문자열의 작은따옴표, 큰따옴표 및 기타 문자 앞에 자동으로 백슬래시 /가 붙습니다.

그러나 Magic Quotes는 매우 보편적인 솔루션이 아니며 잠재적으로 위험한 모든 캐릭터를 차단하지 않으며 Magic Quotes는 많은 서버에서 활성화되지 않습니다. 따라서 SQL 인젝션을 방지하기 위해서는 다른 다양한 방법도 활용해야 합니다.

많은 데이터베이스가 기본적으로 이러한 입력 데이터 처리 기능을 제공합니다. 예를 들어, PHP의 MySQL 작업 함수에는 addlashes(), mysql_real_escape_string(), mysql_escape_string() 및 특수 문자와 데이터베이스 작업 오류를 유발할 수 있는 문자를 이스케이프할 수 있는 기타 함수가 포함됩니다. 그렇다면 이 세 가지 기능의 차이점은 무엇입니까? 아래에서 자세히 이야기해 보겠습니다.

국내의 많은 PHP 프로그래머들은 여전히 ​​SQL 인젝션을 방지하기 위해 추가 래시(addlash)에 의존하고 있지만, 중국어로 SQL 인젝션을 방지하기 위해 모두가 점검을 강화하는 것이 좋습니다. addlashes의 문제점은 해커가 작은따옴표 대신 0xbf27을 사용할 수 있는 반면, addlashes는 0xbf27을 0xbf5c27로만 변경하므로 유효한 멀티바이트 문자가 됩니다. 0xbf5c는 여전히 작은따옴표로 간주되므로 addlashes가 성공적으로 가로챌 수 없습니다.

물론, addlashes는 쓸모가 없습니다. 단일 바이트 문자열을 처리하는 데 사용됩니다. 다중 바이트 문자의 경우 mysql_real_escape_string을 사용하세요.

또한 PHP 매뉴얼의 get_magic_quotes_gpc 예는 다음과 같습니다. 

if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}

magic_quotes_gpc가 이미 열려 있는 경우 $_POST['lastname']를 확인하는 것이 가장 좋습니다.

mysql_real_escape_string과 mysql_escape_string 두 함수의 차이점에 대해 이야기해 보겠습니다.

mysql_real_escape_string은 (PHP 4 >= 4.3.0, PHP 5)에서 사용해야 합니다. 그렇지 않으면 mysql_escape_string만 사용할 수 있습니다. 둘 사이의 차이점은 mysql_real_escape_string은 연결의 현재 문자 집합을 고려하지만 mysql_escape_string은 고려하지 않는다는 것입니다.

요약하자면:

* addlashes()는 강제로 /를 추가합니다.
* mysql_real_escape_string()은 문자 집합을 결정하지만 PHP 버전에 대한 요구 사항이 있습니다.
* mysql_escape_string은 현재 문자 집합을 고려하지 않습니다. 연결.

dz에서 SQL 삽입을 방지하려면 addlashes 함수를 사용하세요. 동시에 dthmlspecialchars 함수에서 일부 대체가 이루어집니다. $string = preg_replace('/&(((#(/d{3,5}|x [a-fA -F0-9]{4}));)/', '&//1', 이 대체 방법은 삽입 문제를 해결하고 중국어 왜곡 문자와 관련된 일부 문제도 해결합니다.

권장 학습: PHP 비디오 튜토리얼

위 내용은 여러 Anti-SQL 주입 공격 기능의 차이점의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 csdn.net에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제
이전 기사:반복 제출을 방지하기 위해 PHP 양식에 토큰을 추가하는 방법다음 기사:반복 제출을 방지하기 위해 PHP 양식에 토큰을 추가하는 방법

관련 기사

더보기