三十九、MySQL 安全及防止 SQL 注入攻击

文章永久连接：https://tech.souyunku.com/?p=4935

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题

作为研发，有一条铁律需要记住，那就是

永远不要相信用户的数据，哪怕他一再承诺是安全的

SQL 注入式攻击

SQL 注入，就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令

比如有一个表单，用户可以输入 name

<?php 
$name = $_GET['name'];
$dbh->query("SELECT * FROM users WHERE name='{$name}'");

那么当用户输入的 name 为 Python'; DELETE FROM user;' 时会变成什么？

SELECT * FROM users WHERE name='Python'; DELETE FROM user;'';

这条语句运行一下，会发现什么？ 我们的 user 表被清空啦，很可怕，对不对

所以我们需要对用户的输入进行过滤处理

例如下面的 PHP 语句，要求用户输入的名称 name 必须是字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间

<?php 
if (preg_match("/^\w{8,20}$/", $_GET['name'], $matches))

    $dbh->query("SELECT * FROM tbl_language WHERE name=$matches[0]");
else
    echo "username 输入异常";

防止 SQL 注入要诀

防止 SQL 注入，我们需要注意以下几个要点

1、 永远不要信任用户的输入

对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双 "-" 进行转换等

2、 永远不要使用动态拼装 SQL ，可以使用 SQL 预处理语句
3、 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接
4、 不要把机密信息直接存放，加密或者 hash 掉密码和敏感的信息
5、 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
6、 SQL 注入的检测方法一般采取辅助软件或网站平台来检测

防止 SQL 注入

Perl和 PHP 中可以对用户输入的数据进行转义从而来防止 SQL 注入

PHP 中可以使用 PHP_PDO 的 PDO:prepare() 方法来预处理 SQL 语句，然后使用 PDOStatement::bindParam() 方法绑定参数，或者在 PDOStatement::execute() 传入参数来预防 SQL 注入

<?php
$stmt = $dbh->prepare("SELECT * FROM tbl_language WHERE name=?");
$stmt->execute(array$_GET['name']));

LIKE 子句语句中的 SQL 注入

使用 LIKE 子句查询时，如果用户输入的值有 _ 或 %，则会出现下面这种情况

用户本来只是想查询 abcd%，查询结果中却有 abcd_、abcde、abcdf 等等

PHP 脚本中，我们首先要使用 addcslashes($name,"%_") 对输入的字符进行转义，然后使用 PHP_PDO 的 PDO:prepare() 方法来预处理 SQL 语句，然后使用 PDOStatement::bindParam() 方法绑定参数，或者在 PDOStatement::execute() 传入参数来预防 SQL 注入

$name = 'thon%';
$name = addcslashes($name,"%_");
$stmt = $dbh->prepare("SELECT * FROM tbl_language WHERE name LIKE ? ");
$stmt->execute(array( '%'.$name));

干货推荐

本站推荐：精选优质专栏

附录：MySQL 教程：系列文章

• 一、MySQLMariaDB 基础教程
• 二、MySQL 简介
• 三、MySQL MariaDB 安装
• 四、MySQL 管理
• 五、MySQL 日常管理
• 六、MySQL PHP 语法
• 七、MySQL 创建连接
• 八、MySQL 获取数据库列表
• 九、MySQL 创建数据库
• 十、MySQL 删除数据库
• 十一、MySQL 选择数据库
• 十二、MySQL 数据类型
• 十三、MySQL 列出数据表
• 十四、MySQL 创建数据表
• 十五、MySQL 删除表
• 十六、MySQL 插入数据
• 十七、MySQL 获取插入数据的 ID
• 十八、MySQL SELECT FROM 查询数据
• 十九、MySQL WHERE 子句有条件的查询数据
• 二十、MySQL UPDATE 更新数据
• 二十一、MySQL DELETE FROM 语句删除数据
• 二十二、MySQL 返回删改查受影响的行数
• 二十三、MySQL LIKE 子句模糊查询数据
• 二十四、MySQL UNION 操作符查询多张表
• 二十五、MySQL ORDER BY 排序
• 二十六、MySQL GROUP BY 分组查询数据
• 二十七、MySQL JOIN 进行多表查询
• 二十八、MySQL NULL 值处理
• 二十九、MySQL REGEXP 子句正则表达式查询
• 三十、MySQL 数据库事务
• 三十一、MySQL ALTER 命令
• 三十二、MySQL 索引
• 三十三、CREATE TEMPORARY TABLE 创建临时表
• 三十四、MySQL DROP TABLE 删除临时表
• 三十五、MySQL INSERT INTO SELECT 复制表
• 三十六、MySQL 获取服务器元数据
• 三十七、MySQL 自增序列 AUTO_INCREMENT
• 三十八、MySQL 处理重复数据
• 【当前读到】三十九、MySQL 安全及防止 SQL 注入攻击
• 四十、MySQL 导出数据
• 四十一、MySQL 导入数据