md5 是否停止 SQL 注入

Question

好的，

所以，我对此有点不确定。

我有一个url参数用户名。

我有这个声明

SELECT * FROM users WHERE user_hash = md5($_GET['username'])

这样安全吗？

在创建帐户时，会存储用户名和密码的 md5 哈希版本。

我很困惑，因为这看起来很简单，如果 md5 停止 sql 注入，为什么用户名和密码不总是以哈希形式保存？

Answer 1

我很困惑，因为这看起来很简单，如果 md5 停止 sql 注入，为什么用户名和密码不总是以哈希形式保存？

原因是不可能进行简单的操作，例如搜索具有特定名称的用户。

SELECT * FROM users where user LIKE '%cat%'

将找到其中包含单词 cat 的所有用户。

简单的管理也是不可能的，您甚至无法查看所有用户的名册。

Answer 2

是的，这将避免 SQL 注入，因为md5() 总是返回一串十六进制代码。

但这不是 SQL 注入的通用解决方案。您必须以 MD5 格式对表中的几乎所有数据进行编码。例如，

$sql = "UPDATE users SET fullname = '" . md5($_GET['fullname']) . "'
        WHERE id = '" . md5($_GET['id']) . "'";

但 MD5 是一种单向哈希，因此无法显示以这种方式存储的全名。

Answer 3

简短的回答是否定的，MD5 不会阻止 SQL 注入。正确的编码是处理这个问题的最好方法。

出现这种情况的原因是您的查询字符串参数允许直接访问 sql。例如。如果用户发给你怎么办：

?username=%27a%27);DROP%20TABLE%20users;%20--

这会伪造 MD5 函数并删除 users 表。当然，他们必须了解您的数据库才能做到这一点。处理它的正确方法是在它进入 SQL 之前对值进行 MD5。在 PHP 中会是这样的：

$username = $GET['username'];
$hashed_username = md5($username);
$sql = "SELECT * FROM users WHERE user_hash = '$hashed_username'"

或者最好的解决方案是在查询中使用绑定变量，让 SQL 库处理翻译。如果您使用的是 PHP，请查看 PDO bindParam，http://php.net/manual/en/pdostatement.bindparam.php

顺便说一句，您的 SQL 将不起作用，因为您需要在 SQL 中引用 (') get 变量。