1. 首页
  2. mysql教程

39-三十九、MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库,那么就有可能发生 SQL注入攻击的安全问题

作为研发,有一条铁律需要记住,那就是

永远不要相信用户的数据,哪怕他一再承诺是安全的

SQL 注入式攻击

SQL 注入,就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令

比如有一个表单,用户可以输入 name


<?php $name = $_GET['name']; $dbh->query("SELECT * FROM users WHERE name='{$name}'");

那么当用户输入的 namePython'; DELETE FROM user;' 时会变成什么?


SELECT * FROM users WHERE name='Python'; DELETE FROM user;'';

这条语句运行一下,会发现什么? 我们的 user 表被清空啦,很可怕,对不对

所以我们需要对用户的输入进行过滤处理

例如下面的 PHP 语句,要求用户输入的名称 name 必须是字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间


<?php if (preg_match("/^\w{8,20}$/", $_GET['name'], $matches)) $dbh->query("SELECT * FROM tbl_language WHERE name=$matches[0]"); else echo "username 输入异常";

防止 SQL 注入要诀

防止 SQL 注入,我们需要注意以下几个要点

1、 永远不要信任用户的输入

对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双 "-" 进行转换等
2、 永远不要使用动态拼装 SQL ,可以使用 SQL 预处理语句
3、 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接
4、 不要把机密信息直接存放,加密或者 hash 掉密码和敏感的信息
5、 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
6、 SQL 注入的检测方法一般采取辅助软件或网站平台来检测

防止 SQL 注入

PerlPHP 中可以对用户输入的数据进行转义从而来防止 SQL 注入

PHP 中可以使用 PHP_PDOPDO:prepare() 方法来预处理 SQL 语句,然后使用 PDOStatement::bindParam() 方法绑定参数,或者在 PDOStatement::execute() 传入参数来预防 SQL 注入


<?php $stmt = $dbh->prepare("SELECT * FROM tbl_language WHERE name=?"); $stmt->execute(array$_GET['name']));

LIKE 子句语句中的 SQL 注入

使用 LIKE 子句查询时,如果用户输入的值有 _%,则会出现下面这种情况

用户本来只是想查询 abcd%,查询结果中却有 abcd_abcdeabcdf 等等

PHP 脚本中,我们首先要使用 addcslashes($name,&quot;%_&quot;) 对输入的字符进行转义,然后使用 PHP_PDOPDO:prepare() 方法来预处理 SQL 语句,然后使用 PDOStatement::bindParam() 方法绑定参数,或者在 PDOStatement::execute() 传入参数来预防 SQL 注入


$name = 'thon%'; $name = addcslashes($name,"%_"); $stmt = $dbh->prepare("SELECT * FROM tbl_language WHERE name LIKE ? "); $stmt->execute(array( '%'.$name));

希望读者能够给小编留言,也可以点击[此处扫下面二维码关注微信公众号](https://www.ycbbs.vip/?p=28 "此处扫下面二维码关注微信公众号")

看完两件小事

如果你觉得这篇文章对你挺有启发,我想请你帮我两个小忙:

  1. 关注我们的 GitHub 博客,让我们成为长期关系
  2. 把这篇文章分享给你的朋友 / 交流群,让更多的人看到,一起进步,一起成长!
  3. 关注公众号 「方志朋」,公众号后台回复「666」 免费领取我精心整理的进阶资源教程
  4. JS中文网,Javascriptc中文网是中国领先的新一代开发者社区和专业的技术媒体,一个帮助开发者成长的社区,是给开发者用的 Hacker News,技术文章由为你筛选出最优质的干货,其中包括:Android、iOS、前端、后端等方面的内容。目前已经覆盖和服务了超过 300 万开发者,你每天都可以在这里找到技术世界的头条内容。

    本文著作权归作者所有,如若转载,请注明出处

    转载请注明:文章转载自「 Java极客技术学习 」https://www.javajike.com

    标题:39-三十九、MySQL 安全及防止 SQL 注入攻击

    链接:https://www.javajike.com/article/1602.html

« 40-四十、MySQL 导出数据
38-三十八、MySQL 处理重复数据»

相关推荐

QR code