php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php  /  管理员 发布于 5年前   661

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法：

1. 使用mysql_real_escape_string函数
2. 使用addslashes函数
3. 使用mysql bind_param()
   

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用，因为如果不指定编码，可能会存在字符编码绕过mysql_real_escape_string函数的漏洞，比如：

$name=$_GET['name'];$name=mysql_real_escape_string($name);$sql="select *from table where name like '%$name%'";

当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时，sql语句输出为：

SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法：

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入（包括我在内），我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。当然addslashes也不是毫无用处，它可用于单字节字符串的处理。

addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

echo addcslashes('foo[ ]','a..z'); //输出：foo[ ] $str="is your name o'reilly?"; //定义字符串，其中包括需要转义的字符 echo addslashes($str); //输出经过转义的字符串

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数，给大家举个例子：

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数：

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验：

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

 总结：

上面三个方法都可以防止sql注入攻击，但第一种方法和第二种方法都存在字符编码的漏洞，所以本文章建议大家使用第三种方法。

感谢阅读，希望能帮助到大家，谢谢大家对本站的支持！

您可能感兴趣的文章:

• 防止MySQL注入或HTML表单滥用的PHP程序
• PHP MYSQL注入攻击需要预防7个要点
• PHP+mysql防止SQL注入的方法小结
• Php中用PDO查询Mysql来避免SQL注入风险的方法
• PHP连接MySQL数据库的三种方式实例分析【mysql、mysqli、pdo】
• php中mysql连接方式PDO使用详解
• php中数据库连接方式pdo和mysqli对比分析
• php基于PDO实现功能强大的MYSQL封装类实例
• PHP基于pdo的数据库操作类【可支持mysql、sqlserver及oracle】
• PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
• php使用mysqli和pdo扩展，测试对比mysql数据库的执行效率完整示例
• PHP使用PDO实现mysql防注入功能详解