这是否可以阻止 sql 注入

Question

我一直在使用下面的代码块来阻止 sql 注入。这是我刚开始 php 时有人给我看的东西（不久前）

我把它放在每一页上，就像打开的一样。我想知道它是否有效？我不知道如何测试 sql 注入

<?php

//Start the session

session_start();


//=======================open connection

include ('lib/dbconfig.php');

//===============This stops SQL Injection in POST vars

  foreach ($_POST as $key => $value) {
    $_POST[$key] = mysql_real_escape_string($value);
  }

  foreach ($_GET as $key => $value) {
    $_GET[$key] = mysql_real_escape_string($value);
  }

我的典型插入和更新查询如下所示

$insert = ("'$email','$pw','$company', '$co_description', '$categroy', '$url', '$street', '$suite', '$city', '$state', '$zip', '$phone', '$date', '$actkey'");

mysql_query("INSERT INTO provider (email, pw, company, co_description, category, url, street, suite, city, state, zip, phone, regdate, actkey) VALUES ($insert)") or die ('error ' . mysql_error());

mysql_query("UPDATE coupon SET head='$_POST[head]', fineprint='$_POST[fineprint]', exdate='$exdate', creationdate=NOW() WHERE id='$cid'") or die ('error ' . mysql_error());

Answer 1

这有点有效，但不是最理想的——并非您在 _GET 和 _POST 中收到的所有数据都会进入数据库。有时您可能希望将其显示在页面上，在这种情况下 mysql_real_escape_string 只会受到伤害（相反，您需要 htmlentities）。

我的经验法则是仅在将某些内容放入需要转义的上下文之前立即对其进行转义。

在这种情况下，您最好只使用参数化查询 - 然后会自动为您完成转义。

Answer 2

这并不是为了防止SQL Injection，真正的逃逸方法只是把\加到危险的地方

像 " 或 ' 这样的字符，所以带有 "hi"do'like" 的字符串会变成 "hi\"do\'like\" 所以它是

不那么危险

这种方法并不总是有用的；如果你想显示 tha 转义的内容

页面中的变量只会破坏它并降低可读性

Answer 3

有点。

mysql_real_escape_string 函数采用给定变量并将其转义以进行 SQL 查询。因此，您可以安全地将字符串附加到查询中，例如

$safe =  mysql_real_escape_string($unsafe_string);
$query = 'SELECT * FROM MyTable WHERE Name LIKE "' . $safe . '" LIMIT 1';

它不能保护您免受有人将恶意代码放入该查询以稍后显示（即 XSS 或类似攻击）。因此，如果有人将变量设置为

// $unsafe_string = '<script src="http://dangerous.org/script.js"></script>'
$safe =  mysql_real_escape_string($unsafe_string);
$query = 'UPDATE MyTable SET Name = "' . $safe . '"';

该查询将按您的预期执行，但现在在您打印此人姓名的任何页面上，他的脚本都会执行。

Answer 4

这还不够。 1. 你缺少 cookie，$_COOKIE 变量。 2. 如果你使用 $_REQUEST 你就有麻烦了。 3.您没有显示您的查询，当您将每个变量放入查询时，您必须用单引号 '' 引用每个变量（特别是当数据被假定为整数并且您可能认为在这种情况下不需要引号时，但这将是一个很大的错误）。 4. 查询中使用的数据可能来自其他来源。

最好的方法是使用数据绑定，并让驱动自动转义数据，这在 PDO 扩展中可用。

示例代码：

$PDO = new PDO('mysql:dbname=testdb;host=127.0.0.1' $user, $password);
$stmt = $PDO->prepare("SELECT * FROM test WHERE id=? AND cat=?");
$stmt->execute(array($_GET["id"], $_GET["cat"]));
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

您还可以使用字符串键绑定数据：

$stmt = $PDO->prepare("SELECT * FROM test WHERE id = :id AND cat = :cat");
$stmt->execute(array(":id" => $_GET["id"], ":cat" => $_GET["cat"]));

如果你想学习 PDO，你可能会发现我使用的这些辅助函数很有用：

http://www.gosu.pl/var/PDO.txt

PDO_Connect(dsn, user, passwd) - connects and sets error handling.
PDO_Execute(query [, params]) - only execute query, do not fetch any data.
PDO_InsertId() - last insert id.

PDO_FetchOne(query [, params]) - fetch 1 value, $count = PDO_FetchOne("SELECT COUNT(*) ..");
PDO_FetchRow(query [, params]) - fetch 1 row.
PDO_FetchAll(query [, params]) - fetch all rows.
PDO_FetchAssoc(query [, params]) - returns an associative array, when you need 1 or 2 cols

1) $names = PDO_FetchAssoc("SELECT name FROM table");
the returned array is: array(name, name, ...)

2) $assoc = PDO_FetchAssoc("SELECT id, name FROM table")
the returned array is: array(id=> name, id=>name, ...)

3) $assoc = PDO_FetchAssoc("SELECT id, name, other FROM table");
the returned array is: array(id=> array(id=>'',name=>'',other=>''), id=>array(..), ..)

每个获取数据的函数都接受作为第二个参数参数数组（这是可选的），用于针对 sql 注入的自动数据绑定。本文前面已经介绍了它的用法。

Answer 5

这是完全错误的方法。

事实上，您是在模仿臭名昭著的魔术引语，这被认为是一种不好的做法。有所有的缺点和危险。

• 帮助你理解为什么你的初始方式是错误的Magic quotes in PHP
• 为了帮助您理解为什么转义与“数据安全”无关，但不足以保护您的查询：Replacing mysql_* functions with PDO and prepared statements
• 为了帮助您了解准备好的语句何时还不够，以及在这些情况下该怎么做：In PHP when submitting strings to the database should I take care of illegal characters using htmlspecialchars() or use a regular expression?