如何保护你的PHP网站SQL注入黑客
作为一个Web开发人员,我经常阅读文章黑客(从低级到知识渊博)浸润网站通过可怕的“SQL注入”的方法和完全控制,改变,获得访问或破坏主人的数据。作为一个资深的Web开发人员,我敢肯定,你想知道如何防范。嗯,在这里!在这篇文章中,你会发现什么是SQL注入,你可以做什么,以防止它的,额外的建议,是很容易做到,使您的数据更安全。
请注意:我不是一个“绝对”专家,但没有我的项目曾经被黑客攻击(还),防SQL注入(据我所知),我爱学习。我保证什么。
什么是SQL注入和它是如何使用的?
基本上,SQL注入是一种用于对网站和应用程序的网站或应用程序的数据存储在SQL数据库中获得。SQL注入是用来访问数据库的信息(或整个公司),破坏数据库的信息,或操纵数据库的信息。它是一种用来利用应用程序或网站的安全漏洞。有许多不同类型的SQL注入,但在这篇文章中,我们将只涵盖了基础知识。
让我们来看看如何使用它,以进一步了解它是什么。我要我的脚本语言,在这些例子中使用PHP作为。您可以使用替代您使用任何语言。应该把重点放在对SQL命令。
例子
假设你是一个专业与自己的业务。您已经创建了一个SQL数据库的一个表,它包含了所有你的客户的信息,您使用发送重要通知,计费,等你花了整整一年的以获得50,000非常重要的客户。你管理你的数据库,在网上记录,为您的旅行,做任何你需要做的,直接从您的网站。
你在你的PHP的SQL查询日志的脚本,在您的网站:
<?
$ Q =“选择`ID``用户``用户名`='”$ _GET ['用户名']。“'和'密码'='$ _GET ['密码']。“'”;
?>
有一天,一个自称黑客绊倒在您的网站。他点击“登录”按钮。
他在“用户名”字段输入以下:
'SHOW TABLES;
现在,黑客已经显示出每一个表,你必须在你的数据库。
因为他知道你的表的名称,他进入:
'DROP TABLE [表的名称;
您的所有信息都不见了。
注:有比这要复杂得多的尝试,有人可以花大量的时间进入你的数据库,或者他们甚至可以使用一个程序尝试利用此漏洞,您的网站,数据库,应用等。
步骤1使用mysql_real_escape_string()
在SQL查询中使用这个PHP函数转义特殊字符,并保护您免受攻击。
查询现在看起来像这样:
<?
$ Q =“SELECT`ID``用户``用户名`='”。mysql_real_escape_string($ _GET ['用户名'])。“'和'密码'='”。mysql_real_escape_string($ _GET ['密码'])。“'”;
?>
步骤2使用请求mysql_query()
使用'请求mysql_query()'有额外的保护,防止SQL注入。包裹在一个查询请求mysql_query()从你的“用户名”字段,而不是只有一个,这是另一种漏洞可以使黑客能够使用多个SQL命令。请求mysql_query()'只允许一个命令的时间。
所以,我们的查询会是这个样子的:
<?
/ /连接
数据库= MYSQL_CONNECT(“本地主机”,“用户名”,“密码”);
/ / DB选择
mysql_select_db(“数据库”,数据库);
$ Q =请求mysql_query(“选择`ID``用户``用户名`='”。mysql_real_escape_string($ _GET ['用户名'])。“'和'密码'='”。mysql_real_escape_string($ _GET ['密码']),“'”,数据库);
?>
建议:集中你的连接
你应该集中在你的脚本,你连接到一个页面。
在每一页需要它,只需使用“包括()'功能,包括承载您的SQL数据库连接信息的页面。这将迫使你创建查询您所创建的每个页面上使用相同的格式,并减少留下漏洞打开了一个错误的机会。
所以,让我们说,我们使一个页面称为'connections.php'放在以下:
<?
/ /连接
数据库= MYSQL_CONNECT(“本地主机”,“用户名”,“密码”);
/ / DB选择
mysql_select_db(“数据库”,数据库);
?>
使用新的设置,我们可以修改我们的查询。我们的登录页面:
<?
“目的地”(“connections.php);
$ Q =请求mysql_query(“选择`ID``用户``用户名`='”。mysql_real_escape_string($ _GET ['用户名'])。“'和'密码'='”。mysql_real_escape_string($ _GET ['密码']),“'”,数据库);
?>
建议:清洁初页面的数据
许多编程语言,强迫你声明变量之前,你可以用它们在整个脚本。PHP不强迫你这样做,但是,它是一个很好的习惯,反正页面开始清理你的变量!
肯定有人会问,“如果我清洗每个变量在整个页面,为什么我应该清洁变量在上面吗?是不是我在做同样的事情,你的建议吗?”。
这是对你更容易清洁变量为一些不同的原因,超出格式化的页面的开始。
- 你必须编写的代码量减少。
- 一旦变量是干净的,你可以自由地使用它在整个页面,而无需担心的漏洞。
- 它是更清洁和更有组织的,让您的工作更容易,避免失误。
如果我们清理变量开头的页面,我们的脚本将会看起来像这样:
<?
“目的地”(“connections.php);
$用户名= mysql_real_escape_string($ _GET ['用户名']);
$密码= mysql_real_escape_string($ _GET ['密码']);
$ Q =请求mysql_query(“选择`ID``用户`WHERE`用户名`='”$的用户名。“'和'密码'='。”密码“。'”,元数据库);
?>
你甚至可以去尽可能创建一个函数为你做的所有的清洁,减少的金额,你必须键入进一步。看看下面的例子。
<?
功能清洁剂(输入){
/ /干净的变量,包括mysql_real_escape_string()
}
“目的地”(“connections.php);
$用户名=清洁($ _GET ['用户名']);
$密码=吸尘器($ _GET ['密码']);
$ Q =请求mysql_query(“选择`ID``用户`WHERE`用户名`='”$的用户名。“'和'密码'='。”密码“。'”,元数据库);
?>
建议:即使清洗后
您可以有额外的检查到位,在您的服务器上,以防止不必要的处理。这是通过检查你的脚本之前,你曾经得到点运行查询运行查询,当你发现的数据可以接受。
<?
功能清洁剂(输入){
/ /干净的变量,包括mysql_real_escape_string()
}
“目的地”(“connections.php);
$用户名=清洁($ _GET ['用户名']);
$密码=吸尘器($ _GET ['密码']);
/ /检查如果输入是空白。
如果(($密码=='')| |($用户名=='')){
/ /不要让他们通过
}
/ /检查,如果他们把比应该被允许的字符太多。
否则,如果((strlen的(用户名)> 20)| |(的strlen($密码)> 20)){
/ /不要让他们通过
}
/ /通过我们的检查!运行查询。
其他{
$ Q =请求mysql_query(“选择`ID``用户`WHERE`用户名`='”$的用户名。“'和'密码'='。”密码“。'”,元数据库);
}
?>
这几乎是它。
如果您有任何疑问,随便问!
PHP之友评论