sql四捨五入 PHP與SQL注入攻擊防範小技巧

以下來談談SQL注入攻擊是如何實現的，又如何防範。
　看這個例子：

複製程式碼 程式碼如下:

// supposed input
$name = "ilia'; DELETE FROMusers;"mg
$name = "ilia'; $name}'");

　很明顯最後資料庫執行的命令是：
SELECT * FROM users WHERE name=ilia; DELETE FROM users
　這就給資料庫帶來了災難性的後果–所有記錄都被刪除了。
　不過如果你使用的資料庫是MySQL，那麼還好，mysql_query()函數不允許直接執行這樣的操作（不能單行進行多個語句操作），所以你可以放心。如果你使用的資料庫是SQLite或PostgreSQL，支援這樣的語句，那麼就將面臨滅頂之災了。
　上面提到，SQL注入主要是提交不安全的資料給資料庫來達到攻擊目的。為了防止SQL注入攻擊，PHP自帶一個功能可以對輸入的字串進行處理，可以在較底層對輸入進行安全上的初步處理，也即Magic Quotes。 (php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項啟用，那麼輸入的字串中的單引號，雙引號和其它一些字元前將會被自動加上反斜線。
　但Magic Quotes並不是一個很通用的解決方案，沒能屏蔽所有有潛在危險的字符，並且在許多伺服器上Magic Quotes並沒有被啟用。所以，我們還需要使用其它多種方法來防止SQL注入。
　許多資料庫本身就提供這種輸入資料處理功能。例如PHP的MySQL操作函數中有一個叫做mysql_real_escape_string()的函數，可將特殊字元和可能造成資料庫操作出錯的字元轉義。
　看這段程式碼：

複製程式碼 程式碼如下:

//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()); $name = mysql_real_escape_string($name);
}
mysql_query("SELECT * FROM users WHERE name='{$name}'");


　，在我們使用資料庫所帶的功能之前要注意一下是否打開，就像上例那樣，否則兩次重複處理就會出錯。如果MQ已啟用，我們要把加上的去掉才得到真實資料。
　除了對以上字串形式的資料進行預處理之外，儲存Binary資料到資料庫時，也要注意進行預處理。否則資料可能與資料庫本身的儲存格式相衝突，造成資料庫崩潰，資料記錄遺失，甚至遺失整個庫的資料。有些資料庫如 PostgreSQL，提供一個專門用來編碼二進位資料的函數pg_escape_bytea()，它可以對資料進行類似Base64那樣的編碼。

　如：



複製程式碼

程式碼如下:// for plain-text data use:

pg_escape_string($regular_strion); );

　另一種情況下，我們也要採用這樣的機制。那就是資料庫系統本身不支援的多字節語言如中文，日文等。其中有些的ASCII範圍和二進位資料的範圍重疊。
　不過對資料進行編碼將有可能導致像LIKE abc%　這樣的查詢語句失效。
以上就介紹了sql四捨五入 PHP與SQL注入攻擊防範小技巧，包括了sql四捨五入方面的內容，希望對PHP教程有興趣的朋友有所幫助。