時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
??? SQL injection問(wèn)題在ASP上可是鬧得沸沸揚(yáng)揚(yáng) 當(dāng)然還有不少?lài)?guó)內(nèi)外著名的PHP程序"遇難"。至于SQL injection的詳情,網(wǎng)上的文章太多了,在此就不作介紹。如果你網(wǎng)站空間的php.ini文件里的magic_quotes_gpc設(shè)成了off,那么PHP就不會(huì)在敏感字符前加上反斜杠(\),由于表單提交的內(nèi)容可能含有敏感字符,如單引號(hào)("),就導(dǎo)致了SQL injection的漏洞。在這種情況下,我們可以用addslashes()來(lái)解決問(wèn)題,它會(huì)自動(dòng)在敏感字符前添加反斜杠。
??? 但是,上面的方法只適用于magic_quotes_gpc=Off的情況。作為一個(gè)開(kāi)發(fā)者,你不知道每個(gè)用戶的magic_quotes_gpc是On 還是Off,如果把全部的數(shù)據(jù)都用上addslashes(),那不是"濫殺無(wú)辜"了?假如magic_quotes_gpc=On,并且又用了 addslashes()函數(shù),那讓我們來(lái)看看:
??? 罪惡之源:用戶提交過(guò)來(lái)的數(shù)據(jù)是可靠的。
?
??? 用戶可以偽造表單和URL提交他想提交的任何數(shù)據(jù),如果你把他提交過(guò)來(lái)的數(shù)據(jù)變量直接聯(lián)入sql語(yǔ)句就會(huì)造成注入,一般性的防范措施是:
??
??? 所有sql語(yǔ)句必須用單引號(hào),因?yàn)閱我?hào)內(nèi)的字符串只有兩個(gè)特殊,它自己和轉(zhuǎn)義符,只要搞定這兩個(gè)就ok了,而addslashes完全勝任,php.ini里magic_quotes_gpc默認(rèn)是off的,有的是on的,這就需要在使用addslashes之前ini_get一下看這個(gè)設(shè)置是on還是off然后再?zèng)Q定是否用,mysql的sql語(yǔ)句的組成中一般只有整形和字符型,整形加上引號(hào)也不會(huì)出錯(cuò),如果嫌麻煩就全加上引號(hào),更安全一點(diǎn)就是inval()轉(zhuǎn)化成整形。這樣處理基本就沒(méi)問(wèn)題了,至于是否允許提交html代碼看你要求了,不允許的話就用函數(shù)去掉<>??
???
??? 更安全一點(diǎn)的遍歷post,get,cookie,對(duì)他們的長(zhǎng)度進(jìn)行控制,addslashes,去除html(或轉(zhuǎn)化成&),圖片驗(yàn)證碼,表單的http?? refferring、session_id判斷,更高級(jí)的是表單過(guò)期判斷(一般用某個(gè)常量和時(shí)間算出的hash,提交的時(shí)候再驗(yàn)證這個(gè)hash)。??
???
??? 隨著$_POST類(lèi)變量的普及使用,php的安全性得到了很大提高,再注意一下單引號(hào)和addslashes,基本就是固若金湯了
?
CODE:
//如果從表單提交一個(gè)變量$_POST["message"],內(nèi)容為 Tom"s book
//這此加入連接MySQL數(shù)據(jù)庫(kù)的代碼,自己寫(xiě)吧
//在$_POST["message"]的敏感字符前加上反斜杠
$_POST["message"] = addslashes($_POST["message"]);
//由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠
$sql = "INSERT INTO msg_table VALUE("$_POST[message]");";
//發(fā)送請(qǐng)求,把內(nèi)容保存到數(shù)據(jù)庫(kù)內(nèi)
$query = mysql_query($sql);
//如果你再?gòu)臄?shù)據(jù)庫(kù)內(nèi)提取這個(gè)記錄并輸出,就會(huì)看到 Tom\"s book
?>
??? 這樣的話,在magic_quotes_gpc=On的環(huán)境里,所有輸入的單引號(hào)(")都會(huì)變成(\")…….其實(shí)我們可以用get_magic_quotes_gpc()函數(shù)輕易地解決這個(gè)問(wèn)題。當(dāng)magic_quotes_gpc=On時(shí),該函數(shù)返回 TRUE;當(dāng)magic_quotes_gpc=Off時(shí),返回FALSE。至此,肯定已經(jīng)有不少人意識(shí)到:?jiǎn)栴}已經(jīng)解決。請(qǐng)看代碼:
CODE:
//如果magic_quotes_gpc=Off,那就為提單提交的$_POST["message"]里的敏感字符加反斜杠
//magic_quotes_gpc=On的情況下,則不加
if (!get_magic_quotes_gpc()) {
$_POST["message"] = addslashes($_POST["message"]);
} else {}
?>
??? 其實(shí)說(shuō)到這里,問(wèn)題已經(jīng)解決。下面再說(shuō)一個(gè)小技巧。
有時(shí)表單提交的變量不止一個(gè),可能有十幾個(gè),幾十個(gè)。那么一次一次地復(fù)制/粘帖addslashes(),是否麻煩了一點(diǎn)?由于從表單或URL獲取的數(shù)據(jù)都是以數(shù)組形式出現(xiàn)的,如$_POST、$_GET) 那就自定義一個(gè)可以"橫掃千軍"的函數(shù):
CODE:
function quotes($content)
{
//如果magic_quotes_gpc=Off,那么就開(kāi)始處理
if (!get_magic_quotes_gpc()) {
//判斷$content是否為數(shù)組
if (is_array($content)) {
//如果$content是數(shù)組,那么就處理它的每一個(gè)單無(wú)
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是數(shù)組,那么就僅處理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On,那么就不處理
}
//返回$content
return $content;
}
?>
關(guān)鍵詞標(biāo)簽:PHP,防止SQL注入攻擊
相關(guān)閱讀
熱門(mén)文章 plsql developer怎么連接數(shù)據(jù)庫(kù)-plsql developer連接數(shù)據(jù)庫(kù)方法 2021年最好用的10款php開(kāi)發(fā)工具推薦 php利用淘寶IP庫(kù)獲取用戶ip地理位置 在 PHP 中使用命令行工具
人氣排行 詳解ucenter原理及第三方應(yīng)用程序整合思路、方法 plsql developer怎么連接數(shù)據(jù)庫(kù)-plsql developer連接數(shù)據(jù)庫(kù)方法 PHP中防止SQL注入攻擊 PHP會(huì)話Session的具體使用方法解析 PHP運(yùn)行出現(xiàn)Notice : Use of undefined constant 的解決辦法 PHP如何清空mySQL數(shù)據(jù)庫(kù) CakePHP程序員必須知道的21條技巧 PHP采集圖片實(shí)例(PHP采集)