|
|
Magic Quotes
上文提到,SQL注入主要是提交不安全的數(shù)據(jù)給數(shù)據(jù)庫來達(dá)到攻擊目的。為了防止SQL注
入攻擊,php自帶一個(gè)功能可以對輸入的字符串進(jìn)行處理,可以在較底層對輸入進(jìn)行安全
上的初步處理,也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc
選項(xiàng)啟用,那么輸入的字符串中的單引號,雙引號和其它一些字符前將會被自動(dòng)加上反斜杠/。
但Magic Quotes并不是一個(gè)很通用的解決方案,沒能屏蔽所有有潛在危險(xiǎn)的字符,并且在許
多服務(wù)器上Magic Quotes并沒有被啟用。所以,我們還需要使用其它多種方法來防止SQL注
入。
許多數(shù)據(jù)庫本身就提供這種輸入數(shù)據(jù)處理功能。例如php的MySQL操作函數(shù)中有一個(gè)叫mysql_real_escape_string()的函數(shù),可將特殊字符和可能引起數(shù)據(jù)庫操作出錯(cuò)的字符轉(zhuǎn)義。
參考:
http://cn2.php.NET/mysql_real_escape_string
有興趣可以看看下面的評論:)
看這段代碼:
//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}
mysql_query(“SELECT * FROM users WHERE name='{$name}'”);
注意,在我們使用數(shù)據(jù)庫所帶的功能之前要判斷一下Magic Quotes是否打開,就像上例
中那樣,否則兩次重復(fù)處理就會出錯(cuò)。如果MQ已啟用,我們要把加上的/去掉才得到真實(shí)
數(shù)據(jù)。
除了對以上字符串形式的數(shù)據(jù)進(jìn)行預(yù)處理之外,儲存Binary數(shù)據(jù)到數(shù)據(jù)庫中時(shí),也要注
意進(jìn)行預(yù)處理。否則數(shù)據(jù)可能與數(shù)據(jù)庫自身的存儲格式相沖突,引起數(shù)據(jù)庫崩潰,數(shù)據(jù)
記錄丟失,甚至丟失整個(gè)庫的數(shù)據(jù)。有些數(shù)據(jù)庫如PostgreSQL,提供一個(gè)專門用來編碼
二進(jìn)制數(shù)據(jù)的函數(shù)pg_escape_bytea(),它可以對數(shù)據(jù)進(jìn)行類似于Base64那樣的編碼。
如:
// for plain-text data use:
pg_escape_string($regular_strings);
// for binary data use:
pg_escape_bytea($binary_data);
另一種情況下,我們也要采用這樣的機(jī)制。那就是數(shù)據(jù)庫系統(tǒng)本身不支持的多字節(jié)語言
如中文,日語等。其中有些的ASCII范圍和二進(jìn)制數(shù)據(jù)的范圍重疊。
不過對數(shù)據(jù)進(jìn)行編碼將有可能導(dǎo)致像LIKE abc% 這樣的查詢語句失效。
php技術(shù):PHP與SQL注入攻擊[二],轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。
