sql遇上注入式攻击该如何解决?
程序员文章站
2022-04-12 22:01:41
sql注入式攻击
要执行登录验证是sql语句:
select * from user_list where username = "user" and...
sql注入式攻击
要执行登录验证是sql语句:
select * from user_list where username = "user" and password = "password" ;
//用户名:" or 1 or " select * from user_list where "username" = "" or 1 or "" and "password" = "fdfdsf" ; //密码随便写
这种语句可以绕过登录判断条件
//用户名:user"# select * from user_list where username = "user"#" and password = $password ; //密码随便写
这种语句也可以绕过登录判断条件
解决办法对所有从客户端传过来的get或post数据,都进行“字符串处理”,要处理的字符包括如下几个:
’ ” \
系统中,有现成的函数可供使用:
addslashes($str) : 将字符串$str中所有的字符,处理成适合sql语句的执行( 原理是将字符转义,’变成 \’ ; ” 变成了 \” ; \ 变成了 \\ ; )
mysql_real_escapt_string();
$pdo->quote();
//举例 $username = addslashes(I("post.username")); $password = addslashes(I("post.password"));建议 thinkphp框架
查询条件尽量使用数组方式,这是更为安全的方式; 如果不得已必须使用字符串查询条件,使用预处理机制; 开启数据字段类型验证,可以对数值数据类型做强制转换; 使用自动验证和自动完成机制进行针对应用的自定义过滤; 字段类型检查、自动验证和自动完成机制 如果环境允许,尽量使用PDO方式,并使用参数绑定。
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者:
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者:
$model->query('select * from user where id=%d and status=%d',array($id,$status));
上一篇: 详解Oracle自定义异常示例