首先说说sql注入攻击的模式,基本上都是后台在接受前端传递的参数的时候将sql代码或脚本代码混入到提交信息中,如果在接受提交的参数的时候没有做精确的数据验证,很可能就让别人钻了空子;轻则暴库,重则数据库数据都会被删;
所以想要预防sql注入, 关键是程序员写的代码一定要严谨,对数据做严格的验证,数据类型,长度,正则等都可以做;
http://hudeyong926.iteye.com/blog/703074这个里面验证规则可以参考;
在做防止sql注入的时候需要按照你传入参数的类型进行过滤,理论上只要不符合你传递的参数类型的数据应该全部过滤掉,可以写多个函数封装起来,用到这个过滤就调用这个函数;这样灵活性更高;
1、正则表达式过滤sql关键字,这个一般在传参的时候肯定是不允许参数里面带这些数据的;
function inject_check($str1) { //验证传入的参数中是否含有注入字符 return preg_match('/select|insert|and|or|update|delete|union|into|load_file|outfile|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec|master|\/\*|\*|\.\.\/|\.\//i', $str1); }
2、数据类型验证
数据了类型就比较好判断了, is_string()判断是否是字符串,is_numeric()判断是否是数字;这里需要注意一点,php是弱语言型编程语言,所以区分是否是数字和字串的时候需要注意一下,'1'和1其实是相等的, php会自动把数字型字串转换成数字,但是如果在'1'外面套上双引号如"'1'"这样,它就是字串了;在做过滤的时候切记, 不然很容易犯错;
3、数据长度验证
如果能确定你的传入数据的长度,当然可以做一个简单判断, 不过一般情况直接使用正则表达式判断, 不仅能匹配数据长度, 还能精确的匹配数据类型和参数格式等,所以正则表达式还是很方便高效的;
4、特殊字符替换
这个问题可能存在当用户输入',",%等的时候, sql误以为是特殊字符,执行的时候语句就报错或是查询的结果不对;这就需要str_replace()函数做字符串特定字符的替换,
比如str_resplace(''','\'',$str);,这样就会把$str中的'号转成\';这样sql在执行的时候就会把'当做'去处理,不然会以为是字符串分界符;这样就会报错了,%其实也是一样,%在sql中是模糊查询,如果做了转义处理,sql就会认为是%这个字符,不做模糊查询处理;当然php也有函数去处理引号转义处理的,addslashes()函数就是做这个事情的,另外php配置文件中有一个magic_quotes_gpc()这个配置如果设置为on,则php在接受参数的时候, 会自动的给',",\,null加上\进行转义;具体详细使用方法我这里就不多说了, 前面的链接里面也是有的, 百度也很容易查到;
先就总结这几点吧 , 后面用到别的再加; |