产生原因
一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如:
$id = $_GET['id'];
$sql = "SELECT name FROM users WHERE id = $id";
因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。如果按照下面方式写,就安全一些。
$id = intval($_GET['id']);
$sql = "SELECT name FROM users WHERE id = $id";
把 id 转换成 int 类型,就可以去掉不安全的东西。
验证数据
防止注入的第一步就是验证数据,可以根据相应类型进行严格的验证。比如 int 类型直接同过 intval 进行转换就行:
$id =intval( $_GET['id']);
字符处理起来比较复杂些,首先通过 sprintf 函数格式话输出,确保它是一个字符串。然后通过一些安全函数去掉一些不合法的字符,比如:
$str = addslashes(sprintf("%s",$str));
//也可以用 mysqli_real_escape_string 函数替代addslashes
这样处理以后会比较安全。当然还可以进一步去判断字符串长度,去防止「缓冲区溢出攻击」比如:
$str = addslashes(sprintf("%s",$str));
$str = substr($str,0,40); //最大长度为40
参数化绑定
参数化绑定,防止 SQL 注入的又一道屏障。php MySQLi 和 PDO 均提供这样的功能。比如 MySQLi 可以这样去查询:
| $mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world'); $stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)"); $code = 'DEU'; $language = 'Bavarian'; $official = "F"; $percent = 11.2; $stmt->bind_param('sssd', $code, $language, $official, $percent); |
PDO 的更是方便,比如:
| /* Execute a prepared statement by passing an array of values */ $sql &#61; &#39;SELECT name, colour, calories FROM fruit WHERE calories <:calories AND colour &#61; :colour&#39;; $sth &#61; $dbh->prepare($sql, array(PDO::ATTR_CURSOR &#61;> PDO::CURSOR_FWDONLY)); $sth->execute(array(&#39;:calories&#39; &#61;> 150, &#39;:colour&#39; &#61;> &#39;red&#39;)); $red &#61; $sth->fetchAll(); $sth->execute(array(&#39;:calories&#39; &#61;> 175, &#39;:colour&#39; &#61;> &#39;yellow&#39;)); $yellow &#61; $sth->fetchAll(); |
我们多数使用 php 的框架进行编程&#xff0c;所以最好不要自己拼写 SQL&#xff0c;按照框架给定参数绑定进行查询。遇到较为复杂的 SQL 语句&#xff0c;一定要自己拼写的时候&#xff0c;一定要注意严格的判断。没有用 PDO 或者 MySQLi 也可以自己写个 prepared&#xff0c;比如 wordprss db 查询语句&#xff0c;可以看出也是经过严格的类型验证。
| function prepare( $query, $args ) { if ( is_null( $query ) ) return; // This is not meant to be foolproof -- but it will catch obviously incorrect usage. if ( strpos( $query, &#39;%&#39; ) &#61;&#61;&#61; false ) { _doing_it_wrong( &#39;wpdb::prepare&#39; , sprintf ( __( &#39;The query argument of %s must have a placeholder.&#39; ), &#39;wpdb::prepare()&#39; ), &#39;3.9&#39; ); } $args &#61; func_get_args(); array_shift( $args ); // If args were passed as an array (as in vsprintf), move them up if ( isset( $args[ 0] ) && is_array( $args[0]) ) $args &#61; $args [0]; $query &#61; str_replace( "&#39;%s&#39;", &#39;%s&#39; , $query ); // in case someone mistakenly already singlequoted it $query &#61; str_replace( &#39;"%s"&#39;, &#39;%s&#39; , $query ); // doublequote unquoting $query &#61; preg_replace( &#39;|(? // Force floats to be locale unaware $query &#61; preg_replace( &#39;|(? // quote the strings, avoiding escaped strings like %%s array_walk( $args, array( $this, &#39;escape_by_ref&#39; ) ); return &#64; vsprintf( $query, $args ); } |
总结
安全性很重要&#xff0c;也可以看出一个人基本功&#xff0c;项目漏洞百出&#xff0c;扩展性和可维护性再好也没有用。平时多留意&#xff0c;树立安全意识&#xff0c;养成一种习惯&#xff0c;一些基本的安全当然也不会占用用 coding 的时间。养成这个习惯&#xff0c;即便在项目急&#xff0c;时间短的情况一下&#xff0c;依然可以做的质量很高。不要等到自己以后负责的东西&#xff0c;数据库都被拿走了&#xff0c;造成损失才重视。共勉&#xff01;
京公网安备 11010802041100号