如何保护你的PHP网站SQL注入黑客

作为一个Web开发人员，我经常阅读文章黑客（从低级到知识渊博）浸润网站通过可怕的“SQL注入”的方法和完全控制，改变，获得访问或破坏主人的数据。作为一个资深的Web开发人员，我敢肯定，你想知道如何防范。嗯，在这里！在这篇文章中，你会发现什么是SQL注入，你可以做什么，以防止它的，额外的建议，是很容易做到，使您的数据更安全。 

请注意：我不是一个“绝对”专家，但没有我的项目曾经被黑客攻击（还），防SQL注入（据我所知），我爱学习。我保证什么。 

什么是SQL注入和它是如何使用的？

基本上，SQL注入是一种用于对网站和应用程序的网站或应用程序的数据存储在SQL数据库中获得。SQL注入是用来访问数据库的信息（或整个公司），破坏数据库的信息，或操纵数据库的信息。它是一种用来利用应用程序或网站的安全漏洞。有许多不同类型的SQL注入，但在这篇文章中，我们将只涵盖了基础知识。 

让我们来看看如何使用它，以进一步了解它是什么。我要我的脚本语言，在这些例子中使用PHP作为。您可以使用替代您使用任何语言。应该把重点放在对SQL命令。

例子

假设你是一个专业与自己的业务。您已经创建了一个SQL数据库的一个表，它包含了所有你的客户的信息，您使用发送重要通知，计费，等你花了整整一年的以获得50,000非常重要的客户。你管理你的数据库，在网上记录，为您的旅行，做任何你需要做的，直接从您的网站。

你在你的PHP的SQL查询日志的脚本，在您的网站：

<？

$ Q =“选择`ID``用户``用户名`='”$ _GET ['用户名']。“'和'密码'='$ _GET ['密码']。“'”;

？>

有一天，一个自称黑客绊倒在您的网站。他点击“登录”按钮。 

他在“用户名”字段输入以下： 

'SHOW TABLES;

现在，黑客已经显示出每一个表，你必须在你的数据库。

因为他知道你的表的名称，他进入：  

'DROP TABLE [表的名称;

您的所有信息都不见了。 

注：有比这要复杂得多的尝试，有人可以花大量的时间进入你的数据库，或者他们甚至可以使用一个程序尝试利用此漏洞，您的网站，数据库，应用等。

步骤1使用mysql_real_escape_string（） 

在SQL查询中使用这个PHP函数转义特殊字符，并保护您免受攻击。

查询现在看起来像这样：

<？

$ Q =“SELECT`ID``用户``用户名`='”。mysql_real_escape_string（$ _GET ['用户名']）。“'和'密码'='”。mysql_real_escape_string（$ _GET ['密码']）。“'”; 

？>

步骤2使用请求mysql_query（）

使用'请求mysql_query（）'有额外的保护，防止SQL注入。包裹在一个查询请求mysql_query（）从你的“用户名”字段，而不是只有一个，这是另一种漏洞可以使黑客能够使用多个SQL命令。请求mysql_query（）'只允许一个命令的时间。 

所以，我们的查询会是这个样子的：

<？

/ /连接
数据库= MYSQL_CONNECT（“本地主机”，“用户名”，“密码”）;

/ / DB选择
mysql_select_db（“数据库”，数据库）;

$ Q =请求mysql_query（“选择`ID``用户``用户名`='”。mysql_real_escape_string（$ _GET ['用户名']）。“'和'密码'='”。mysql_real_escape_string（$ _GET ['密码']），“'”，数据库）;  

？>

建议：集中你的连接

你应该集中在你的脚本，你连接到一个页面。

在每一页需要它，只需使用“包括（）'功能，包括承载您的SQL数据库连接信息的页面。这将迫使你创建查询您所创建的每个页面上使用相同的格式，并减少留下漏洞打开了一个错误的机会。

所以，让我们说，我们使一个页面称为'connections.php'放在以下： 

<？

/ /连接
数据库= MYSQL_CONNECT（“本地主机”，“用户名”，“密码”）;

/ / DB选择
mysql_select_db（“数据库”，数据库）;

？>

使用新的设置，我们可以修改我们的查询。我们的登录页面：

<？

“目的地”（“connections.php）;

$ Q =请求mysql_query（“选择`ID``用户``用户名`='”。mysql_real_escape_string（$ _GET ['用户名']）。“'和'密码'='”。mysql_real_escape_string（$ _GET ['密码']），“'”，数据库）; 

？>

建议：清洁初页面的数据

许多编程语言，强迫你声明变量之前，你可以用它们在整个脚本。PHP不强迫你这样做，但是，它是一个很好的习惯，反正页面开始清理你的变量！ 

肯定有人会问，“如果我清洗每个变量在整个页面，为什么我应该清洁变量在上面吗？是不是我在做同样的事情，你的建议吗？”。 

这是对你更容易清洁变量为一些不同的原因，超出格式化的页面的开始。

1. 你必须编写的代码量减少。 
2. 一旦变量是干净的，你可以自由地使用它在整个页面，而无需担心的漏洞。 
3. 它是更清洁和更有组织的，让您的工作更容易，避免失误。

如果我们清理变量开头的页面，我们的脚本将会看起来像这样：

<？

“目的地”（“connections.php）;

$用户名= mysql_real_escape_string（$ _GET ['用户名']）; 
$密码= mysql_real_escape_string（$ _GET ['密码']）;

$ Q =请求mysql_query（“选择`ID``用户`WHERE`用户名`='”$的用户名。“'和'密码'='。”密码“。'”，元数据库）; 

？>

你甚至可以去尽可能创建一个函数为你做的所有的清洁，减少的金额，你必须键入进一步。看看下面的例子。

<？

功能清洁剂（输入）{

/ /干净的变量，包括mysql_real_escape_string（）

}

“目的地”（“connections.php）;

$用户名=清洁（$ _GET ['用户名']）; 
$密码=吸尘器（$ _GET ['密码']）;

$ Q =请求mysql_query（“选择`ID``用户`WHERE`用户名`='”$的用户名。“'和'密码'='。”密码“。'”，元数据库）; 

？>

建议：即使清洗后

您可以有额外的检查到位，在您的服务器上，以防止不必要的处理。这是通过检查你的脚本之前，你曾经得到点运行查询运行查询，当你发现的数据可以接受。

<？

功能清洁剂（输入）{

/ /干净的变量，包括mysql_real_escape_string（）

}

“目的地”（“connections.php）;

$用户名=清洁（$ _GET ['用户名']）; 
$密码=吸尘器（$ _GET ['密码']）;

/ /检查如果输入是空白。

如果（（$密码==''）| |（$用户名==''））{

/ /不要让他们通过

} 

/ /检查，如果他们把比应该被允许的字符太多。 

否则，如果（（strlen的（用户名）> 20）| |（的strlen（$密码）> 20））{

/ /不要让他们通过

}

/ /通过我们的检查！运行查询。

其他{

$ Q =请求mysql_query（“选择`ID``用户`WHERE`用户名`='”$的用户名。“'和'密码'='。”密码“。'”，元数据库）; 

}

？>

这几乎是它。

如果您有任何疑问，随便问！