毕业开始从事winform到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。
对于sql注入的攻防,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门查看大量前辈们的心得,这方面的资料颇多,将其精简出自己觉得重要的,就成了该文。
SQL注入是一个网络安全漏洞,攻击者可以利用该漏洞来干扰应用程序对其数据库的查询。通常,它使攻击者可以查看他们通常无法检索的数据。这可能包括其他用户的数据,或者应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除此数据,从而导致应用程序内容或行为的永久更改。
下面我们以登录模块来说明SQL注入攻击,登录模块其实就是执行SQL查询,看是否能匹配到查询结果。以下是从普通用户和尝试使用SQL注入的不良用户收集的示例字符串。
- // 正常用户登录的SQL查询语句
- $name = "timmy";
- $query = "SELECT * FROM customers WHERE username = '$name'";
- echo "Normal: " . $query . "
"; -
- // user input that uses SQL Injection
- $name_bad = "' OR 1'";
-
- // our MySQL query builder, however, not a very safe one
- $query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
-
- // display what the new query will look like, with injection
- echo "Injection: " . $query_bad;
上面的php代码将输出如下:
- 正常SQL: SELECT * FROM customers WHERE username = 'timmy'
- 注入式SQL: SELECT * FROM customers WHERE username = '' OR 1''
正常SQL查询没有问题,因为我们的MySQL语句将从用户名等于timmy的客户中选择所有内容。
但是,注入攻击SQL实际上的查询行为与我们预期的有所不同。通过使用单引号(')结束了我们的MySQL查询的字符串部分
然后使用OR子句1(始终为true)添加到我们的WHERE语句中。
此OR子句1始终为 true ,因此该语句将查询customers表中的所有数据!
有三种方法可以防止SQL注入攻击。第一种方法使用mysql_real_escape_string()函数,第二种方法使用mysqli的prepare语句,第三种方法使用PDO(对于任何受支持的数据库驱动程序)。
- //Connect
-
- $unsafe_variable = $_POST["user-input"];
- $safe_variable = mysql_real_escape_string($unsafe_variable);
-
- mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
-
- //Disconnect
- $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
- $stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
-
- $stmt->execute();
-
- $result = $stmt->get_result();
- while ($row = $result->fetch_assoc()) {
- // Do something with $row
- }
PDO
- $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
-
- $stmt->execute([ 'name' => $name ]);
-
- foreach ($stmt as $row) {
- // Do something with $row
- }
以上是本文的全部类容,感谢阅读,希望能帮到大家。更多教程请访问码农之家