关于sql注入的防范

PHP admin 1438℃ 0评论

用yii写的项目刚上线还没有推广就遇到了sql注入,首先要提醒各位同行的是:让一个新手去处理事情,不管多大你都要提起120%的小心,每行代码每个逻辑都要亲自审查;另外,一定要做好足够充分的测试,找几个经验丰富的开发人员去测试比不做开发的去做测试要靠谱的多。这里转发一个关于sql注入的防范,希望能有所帮助:

最近在使用框架的时候还是有点不安,不知道框架的设计者有没有考虑到SQL-Injection的问题,我在顶层需不需要做一些必要的过滤等等(这里我碰到的问题是渣渣程序员直接用$_POST插入的),由 此我特意的去StackOverflow看了下,真是获益良多,然后我去看了下框架的DB库的内部方法,然后就比较安心了。分享下国内外PHP程序员在处 理SQL-Injection的一些方案。

国外普遍都推荐,只要你是使用查询都应该做到两点:1. prepared statements (准备好的声明) 2. parameterized queries (参数化的查询请求) 

我一开始也不理解这个是什么意思,后来看他们举例就大概知道了。比较安全的SQL,你需要一开始对查询的变量进行准备。如:

$name = $_POST['name'];
$sql = 'select * from user where name'.$name;

那么最好就是对$name先处理下,

$name = mysql_real_escape_string($_POST['name']);

然后,让请求过来的变量成为参数,而不是SQL语言本身。

$sql = 'select * from user where name=\''.$name.'\'';

当然,这种写法还是比较粗糙。

所以,一般都会推荐使用PDO 或者是MYSQLI的prepare() excute()方法。

$stmt = $pdo->prepare('SELECT * FROM user WHERE name = :name');
$stmt->execute(array('name' => $name));

关于 PDO::prepare()

这样做的好处就是,你不再需要担心查询请求会插入一些SQL语句,因为这些语句都将会当作是请求变量(一个字符串或者是数字),不再会误以为是SQL语言本身。这样可以大大的减少SQL注入的机会。

 

原文:http://www.cnblogs.com/zerodeng1988/p/4220567.html

如需转载请注明: 转载自26点的博客

本文链接地址: 关于sql注入的防范

转载请注明:26点的博客 » 关于sql注入的防范

喜欢 (0)
发表我的评论
取消评论

表情