防止 SQL 注入

Question

我正在开发一个网站，我正在尝试保护连接部分。

我在$login 上使用了addslashes 函数来阻止SQL 注入，但是一些朋友告诉我这还不够安全。但是，他们没有向我展示如何利用此漏洞。

我/你可以如何破解此代码？ 我该如何保护它？

<?php

    if ( isset($_POST) && (!empty($_POST['login'])) && (!empty($_POST['password'])) )
    {
        extract($_POST);
        $sql = "SELECT pseudo, sex, city, pwd FROM auth WHERE pseudo = '".addslashes($login)."'";
        $req = mysql_query($sql) or die('Erreur SQL');
        if (mysql_num_rows($req) > 0)
        {
            $data = mysql_fetch_assoc($req);
            if ($password == $data['pwd'])
            {
                $loginOK = true;
            }
        }
    }
    ?>

Answer 1

您应该使用mysql_real_escape_string 在查询中转义字符串输入参数。使用类型转换来清理数字参数并使用白名单来清理标识符。

在引用的PHP页面中，有一个登录表单中的sql注入示例。

更好的解决方案是使用准备好的语句，您可以使用PDO 或mysqli 来做到这一点。

Answer 2

您正在以明文形式存储密码！如果我看到过，那将是一个重大的安全问题。该怎么做：至少使用（每个用户）密码的加盐哈希，如所见，例如here.

Answer 3

用途：

mysql_real_escape_string($inputToClean);

Answer 4

还有另一个巨大的安全漏洞 - extract。它可能会让您免于输入几个字符，但会打开太多无法提及的漏洞，因为它会覆盖任何全局变量。

如果我发布这个会发生什么？

$_POST {
    'login' => 'Admin',
    'loginOK' => 1
}

猜猜看，现在 $loginOK == 1 ，我将以管理员身份登录。

以后省去很多麻烦，只使用你想使用的变量，而不是依赖于可怕的黑客extract。

Answer 5

除了addslashes()的用法，以下是这段代码中发现的一些随机问题：

• isset($_POST) 始终是 TRUE，除非您从命令行运行它。您可能可以删除它。
• empty() 非常棘手。例如，如果$password = '0' 则empty($password) 为TRUE。
• 您可以这样做：if( isset($_POST['login']) && $_POST['login']!='' ){}
• extract($_POST) 是一个巨大的漏洞：任何人都可以从外部在您的代码中设置变量。
• $password == $data['pwd'] 建议您在数据库中存储纯文本密码。这是一种可怕的做法。谷歌搜索“盐渍密码”。
• 你也可以$loginOK = $password == $data['pwd'];。你知道为什么吗？ ;-)

Answer 6

你应该使用mysql_real_escape_string而不是addslashes。