PHP 新手入門資料庫安全
1.防止sql 注入
所謂SQL注入,就是透過將SQL指令插入Web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL指令。
我們永遠不要信任使用者的輸入,我們必須認定使用者輸入的資料都是不安全的,我們都需要對使用者輸入的資料進行過濾處理
例如註冊,使用者需要填寫使用者名,密碼,等
我們在接收這些資料的時候,先對他進行判斷,首先是前端頁面,我們可以用js 去判斷,如果在前面就不合法,那麼就是要重新去填寫的,全部合法之後,我們接收的信息,比如用戶名,有沒有被註冊,我們要去數據庫查詢,跟表單提交過的用戶名信息判斷,如果存在,那麼是不讓註冊的,我們也可以用正規表示式來控制他的格式,比如說只能是中文或英文,不能超過幾位。等等
我們也可以對表單提交的資料進行過濾處理
#防止SQL注入,我們需要注意以下幾個要點:
· 1 .永遠不要信任使用者的輸入。對使用者的輸入進行校驗,可以透過正規表示式,或限制長度;對單引號和 雙"-"進行轉換等。
· 2.永遠不要使用動態拼裝sql,可以使用參數化的sql或直接使用預存程序進行資料查詢存取。
· 3.永遠不要使用管理員權限的資料庫連接,為每個應用程式使用單獨的權限有限的資料庫連接。
· 4.不要把機密資訊直接存放,加密或hash掉密碼和敏感的資訊。
· 5.應用的例外資訊應該給予盡可能少的提示,最好使用自訂的錯誤訊息對原始錯誤訊息進行包裝
· 6.sql注入的偵測方法一般會採取輔助軟體或網站平台來檢測,軟體一般採用sql注入檢測工具jsky,網站平台就有億思網站安全平台檢測工具。 MDCSOFT SCAN等。採用 MDCSOFT-IPS可以有效的防禦SQL注入,XSS攻擊等
防止sql 注入
在腳本語言,如Perl和PHP你可以對使用者輸入的數據進行轉義從而來防止SQL注入。
PHP的MySQL擴充提供了mysql_real_escape_string()函數來轉義特殊的輸入字元
<?php if (get_magic_quotes_gpc()) { $name = stripslashes($name); } $name = mysql_real_escape_string($name); mysql_query("SELECT * FROM users WHERE name='{$name}'"); ?>
Like語句中的注入
#like查詢時,如果使用者輸入的值有"_"和"%",則會出現這種情況:使用者本來只是想查詢"abcd_",查詢結果中卻有"abcd_"、"abcde"、"abcdf"等等;用戶要查詢"30%"(註:百分之三十)時也會出現問題。
在PHP腳本中我們可以使用addcslashes()函數來處理以上情況,如下實例:
<?php $sub = addcslashes(mysql_real_escape_string("%something_"), "%_"); // $sub == \%something\_ mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'"); ?>