亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網絡,我們將竭誠為您提供優質的服務! 誠征網絡推廣 | 網站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業務咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當前位置:首頁 >> 技術文章 >> 文章瀏覽
技術文章

PHP與SQL注入攻擊詳解

添加時間:2014-7-27 1:38:58  添加: 思海網絡 

    SQL注入攻擊是黑客攻擊網站最常用的手段。如果你的站點沒有使用嚴格的用戶輸入檢驗,那么常容易遭到SQL注入攻擊。SQL注入攻擊通常通過給站點數據庫提交不良的數據或查詢語句來實現,很可能使數據庫中的紀錄遭到暴露,更改或被刪除。下面來談談SQL注入攻擊是如何實現的,又如何防范。

 看這個例子:

// supposed input
$name = “ilia’; DELETE FROM users;”;
mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);


 很明顯最后數據庫執行的命令是:

SELECT * FROM users WHERE name=ilia; DELETE FROM users


 這就給數據庫帶來了災難性的后果--所有記錄都被刪除了。

 不過如果你使用的數據庫是MySQL,那么還好,mysql_query()函數不允許直接執行這樣的操作(不能單行進行多個語句操作),所以你可以放心。如果你使用的數據庫是SQLite或者PostgreSQL,支持這樣的語句,那么就將面臨滅頂之災了。

 上面提到,SQL注入主要是提交不安全的數據給數據庫來達到攻擊目的。為了防止SQL注入攻擊,PHP自帶一個功能可以對輸入的字符串進行處理,可以在較底層對輸入進行安全上的初步處理,也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項啟用,那么輸入的字符串中的單引號,雙引號和其它一些字符前將會被自動加上反斜杠\。

 但Magic Quotes并不是一個很通用的解決方案,沒能屏蔽所有有潛在危險的字符,并且在許多服務器上Magic Quotes并沒有被啟用。所以,我們還需要使用其它多種方法來防止SQL注入。

 許多數據庫本身就提供這種輸入數據處理功能。例如PHP的MySQL操作函數中有一個叫mysql_real_escape_string()的函數,可將特殊字符和可能引起數據庫操作出錯的字符轉義。

 看這段代碼:

//如果Magic Quotes功用啟用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);

 注意,在我們使用數據庫所帶的功能之前要判斷一下Magic Quotes是否打開,就像上例中那樣,否則兩次重復處理就會出錯。如果MQ已啟用,我們要把加上的\去掉才得到真實數據。

 除了對以上字符串形式的數據進行預處理之外,儲存Binary數據到數據庫中時,也要注意進行預處理。否則數據可能與數據庫自身的存儲格式相沖突,引起數據庫崩潰,數據記錄丟失,甚至丟失整個庫的數據。有些數據庫如PostgreSQL,提供一個專門用來編碼二進制數據的函數pg_escape_bytea(),它可以對數據進行類似于Base64那樣的編碼。

 如:

// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

 另一種情況下,我們也要采用這樣的機制。那就是數據庫系統本身不支持的多字節語言如中文,日語等。其中有些的ASCII范圍和二進制數據的范圍重疊。

 不過對數據進行編碼將有可能導致像LIKE abc% 這樣的查詢語句失效。

關鍵字:PHP、SQL、數據庫、注入

分享到:

頂部 】 【 關閉
版權所有:佛山思海電腦網絡有限公司 ©1998-2024 All Rights Reserved.
聯系電話:(0757)22630313、22633833
中華人民共和國增值電信業務經營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網安 舉報有獎  警警  手機打開網站