SQL 注入保护 - 单引号 [重复]

Question

可能重复：
Best way to prevent SQL injection in PHP?

我一直在做一些测试来保护我的网站免受 SQL 注入。我看到有几种方法可以做到这一点，转义我的用户输入，添加斜杠，或者更好的是使用参数化的 sql 语句。

我有这个测试代码..

$q=$_GET["q"];
$game = mysql_query("SELECT * FROM `Games` WHERE `id` = '$q'");
$game = mysql_fetch_array($game);

echo "<h4>ID: ".$game[0]."<br /></h4>name: " . $game[1];

我尝试了几个 SQLi 请求，但无法让我的测试页面出错，或者显示任何额外的数据。

但是当我将我的 sql 语句代码更改为这个时（删除了 $q 周围的单引号）..

$game = mysql_query("SELECT * FROM `Games` WHERE `id` = $q");

我可以执行简单的 SQLi 并获得一些结果。

那么，将我的用户输入用单引号括起来就足够了吗？还是我看过更复杂的 SQLi 技术？

Answer 1

您是在提到 SQL 注入和参数化语句，但似乎没有跨 PDO？ - 使用 PDO http://www.php.net/manual/en/pdo.prepare.php

Answer 2

试试这个输入：

abc' OR id <> '

这将导致以下语句：

"SELECT * FROM `Games` WHERE `id` = 'abc' OR id <> ''"

这将返回所有游戏，而不是只返回一个。如果您的页面允许显示整个结果，那么我们肯定会看到太多...

出路是使用带有prepared statements的PDO，在将用户输入插入SQL语句之前至少是mysqli_real_escape_string()函数。

SQL 注入可以做更多的事情，在最坏的情况下，您甚至可以控制服务器。看看这个SQL Injection Cheat Sheet

Answer 3

你应该使用mysql_real_escape_string()函数

在这种情况下，您必须使用单引号

 $game = mysql_query("SELECT * FROM `Games` WHERE `id` = '$q'");

假设用户输入为1'，而escape_string 输出为1\'

如果您不使用引号，则查询将是

SELECT * FROM `Games` WHERE `id` = 1'

//that is wrong or a injection

但是在单引号的情况下

SELECT * FROM `Games` WHERE `id` = '1\''

这很好，可以删除sql-injection