PHP Mysql 注入的实现和防范示例

数据库 MySQL
本文主要介绍的是PHP Mysql 注入的实现和防范,如果你对PHP Mysql 注入的实现和防范的实际应用感兴趣的话,你就可以浏览以下的文章了。

以下的文章主要介绍的是PHP Mysql 注入的实现和防范,以我个人看来,引发SQL注入攻击的最主要原因,是以下2个原因:即。1). php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off。

2). 开发者没有对数据类型进行检查和转义

不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。

为什么说PHP Mysql 注入的实现与防范第二点最为重要?因为如果没有第二点的保证,magic_quotes_gpc 选项,不论为 on,还是为 off,都有可能引发 SQL 注入攻击。下面来看一下技术实现:

 magic_quotes_gpc = Off 时的注入攻击

magic_quotes_gpc = Off 是 php 中一种非常不安全的选项。新版本的 php 已经将默认的值改为了 On。但仍有相当多的服务器的选项为 off。毕竟,再古董的服务器也是有人用的。

当magic_quotes_gpc = On 时,它会将提交的变量中所有的 ‘(单引号)、”(双号号)、\(反斜线)、空白字符,都为在前面自动加上 \。下面是 php 的官方说明:

 

  1. magic_quotes_gpc boolean  
  2. Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. 
    When magic_quotes are on, all ‘ (single-quote), ” (double quote), 
    \ (backslash) and NUL’s are escaped with a backslash automatically  

如果没有转义,即 off 情况下,就会让攻击者有机可乘。以下列测试脚本为例:

<?

f ( isset($_POST["f_login"] ) )

{

连接数据库...

...代码略...

检查用户是否存在

  1. $t_strUname = $_POST["f_uname"];  
  2. $t_strPwd = $_POST["f_pwd"];  
  3. $t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";  
  4. if ( $t_hRes = mysql_query($t_strSQL) )  
  5. {  
  6. // 成功查询之后的处理. 略...  
  7. }  
  8. }  
  9. ?> 
  10. <html><head><title>sample test</title></head> 
  11. <body> 
  12. <form method=post action=""> 
  13. Username: <input type="text" name="f_uname" size=30><br> 
  14. Password: <input type=text name="f_pwd" size=30><br> 
  15. <input type="submit" name="f_login" value="登录"> 
  16. </form> 
  17. </body> 

 

上述的相关内容就是对PHP Mysql 注入 的实现与防范的部分内容的描述,希望会给你带来一些帮助在此方面。

【编辑推荐】

  1. MySQL数据表中字段的批量修改与复制
  2. MySQL修改表字段的实际应用代码演示
  3. MySQL查询优化的5个好用方法
  4. MySQL alter 语句的实际操作
  5. 导致MySQL Alter Table函数信息泄露的原因
责任编辑:佚名 来源: 博客园
相关推荐

2009-12-03 18:23:23

2012-12-19 10:36:06

2017-08-16 16:00:05

PHPcontainer依赖注入

2013-07-24 16:09:12

MYSQL注入

2019-01-21 14:53:50

2010-09-08 13:31:24

2009-07-20 15:37:09

iBatis like注入漏洞

2018-03-12 10:02:30

PHP依赖注入

2011-08-15 09:47:49

PHP

2009-05-04 09:13:52

PHPMySQL读写分离

2013-12-09 09:57:37

2010-09-08 14:02:46

2013-09-03 10:15:02

2013-05-20 10:20:02

2009-11-25 14:44:34

PHP函数array_

2009-12-09 16:42:55

PHP二级联动菜单

2024-10-12 10:57:21

2013-12-13 10:45:26

2009-11-30 09:35:15

PHP递归算法

2009-12-24 10:40:09

点赞
收藏

51CTO技术栈公众号