可能的重复:
What is SQL injection?
XKCD SQL injection - please explain
我拥有一家公司,并希望了解 PHP 的流行情况,同时我正在招聘人员来维护和扩展其网站的代码,我一直在关注 SQL 注入的安全性,但不太了解这些代码会如何影响SQL 数据库,因为它们包含在查询的字符串中。
如何显示安全漏洞,以便我亲眼看到正在发生的事情?
【问题讨论】:
标签: php sql security scripting
虽然大部分可以在网上解释,但我感觉要解释得更详细一点。
如果你能想象字符串会变成什么,你就会明白你正在编写的脚本的潜在风险,因为它会在实际运行之前变成其他东西。
一个简单的恶意示例:
$fromtheuser = "foo'; DROP TABLE affiliates; --";
$q = "SELECT id FROM affiliates WHERE website = '$fromtheuser'";
你能解释一下这会变成什么吗?开发商做不到。
"SELECT id FROM affiliates WHERE website = 'foo'; DROP TABLE affiliates; --'"
这个向量的关键部分是 '; 用于结束 SQL 字符串原语,--' 用于注释掉推送的引号。
您将在编写的代码中寻找的是,在将数据放入查询之前对其进行适当的清理和过滤。帮助保护这方面安全的一个重要工具是某种形式的准备好的查询,在这种情况下,您可以将参数绑定到查询,这样就没有什么可操作的了。
我们可以通过 MySQLi(改进的)或我个人最喜欢的 PDO 中的预处理语句来实现这一点。快速了解它们的外观。
mysql_real_escape_string(可以处理编码和引号)
<?php
$clean = mysql_real_escape_string($q)
MySQLi:
<?php
$clean = $mysqli->prepare("SELECT id FROM affiliates WHERE website = ?");
$clean->bind_param('s', $website); //'s' for 'string'
PDO:
<?php
$clean = $pdo->prepare("SELECT id FROM affiliates WHERE website = ?");
$clean->bindParam(1, $website); //you can use :site rather than ? and 1
【讨论】:
execute() 方法比使用单独的函数调用绑定参数更简洁。
mysql_query("SELECT * FROM users WHERE username = '$username'");
看看当我们将 $username 变量设置为讨厌的东西时会发生什么:
$username = "' OR 1";
查询变为:
SELECT * FROM users WHERE username = '' OR 1
攻击者可以使用不正确转义的变量将 SQL 注入到您的查询中,从而有效地绕过您现有的任何(较差的)安全措施。
更多信息here
【讨论】:
【讨论】:
危险来自事实,即 SQL 查询是程序。
因此,可以注入恶意代码来代替某些操作员。
字符串由引号分隔。如果字符串中的分隔符没有被转义,它实际上会关闭字符串语句,其余的将是恶意代码。
不仅字符串是动态的。如果 $amount 包含恶意代码以及ORDER BY $order,则没有分隔符将保护LIMIT $amount。
【讨论】: