在PHP中全面阻止SQL注入式攻击之三
一、 建立一个安全抽象层 我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中,而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中,并且针对用户输入的每一项调用这个函数。当然,我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中,从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类;在本篇中,我们正要讨论其中的一些。 进行这种抽象至少存在三个优点(而且每一个都会改进安全级别): 1. 本地化代码。 2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。 3. 当基于安全特征进行构建并且恰当使用时,这将会有效地防止我们前面所讨论的各种各样的注入式攻击。 二、 改进现有的应用程序 如果你想改进一个现有的应用程序,则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示: function safe( $string ) { 【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来,就可以使用这个函数来构造一个$query变量,如下所示: $variety = safe(
Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved 地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008 电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134 《中华人民共和国增值电信业务经营许可证》闽B2-20100024 ICP备案:闽ICP备05037997号
$query = " SELECT * FROM wines WHERE variety=" . $variety; 现在,你的用户试图进行一个注入式攻击-通过输入下列内容作为变量$variety的值: lagrein'' or 1=1; 注意,如果不进行上面的"清理",则最后的查询将如下所示(这将导致无法预料的结果): SELECT * FROM wines WHERE variety = ''lagrein'' or 1=1;'' 然而现在,既然用户的输入已经被清理,那么查询语句就成为下面这样一种无危害的形式: SELECT * FROM wines WHERE variety = ''lagrein\'' or 1=1\;'' 既然数据库中不存在与指定的值相应的variety域(这正是恶意用户所输入的内容-lagrein'' or 1=1;),那么,这个查询将不能返回任何结果,并且注入将会失败。 三、 保护一个新的应用程序 如果你正在创建一个新的应用程序,那么,你可以从头开始创建一个安全抽象层。如今,PHP 5新改进的对于MySQL的支持(这主要体现在新的mysqli扩展中)为这种安全特征提供了强有力的支持(既有过程性的,也有面向对象特征的)。你可以从站点http://php.net/mysqli上获取有关mysqli的信息。注意,只有当你使用--with-mysqli=path/to/mysql_config选项编译PHP时,这种mysqli支持才可用。下面是该代码的一个过程性版本,用于保护一个基于mysqli的查询: <?php
Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved 地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008 电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134 《中华人民共和国增值电信业务经营许可证》闽B2-20100024 ICP备案:闽ICP备05037997号
//连接到数据库 $connect = mysqli_connect( ''localhost'', ''username'', ''password'', ''database'' ); if ( !$connect ) exit( ''connection failed: '' . mysqli_connect_error() ); //创建一个查询语句源 $stmt = mysqli_prepare( $connect,"SELECT intelligence FROM animals WHERE name = ?" ); if ( $stmt ) { //把替代绑定到语句上 mysqli_stmt_bind_param( $stmt, "s", $animalName ); //执行该语句 mysqli_stmt_execute( $stmt ); //检索结果... mysqli_stmt_bind_result( $stmt, $intelligence ); // ...并显示它 if ( mysqli_stmt_fetch( $stmt ) ) { print "A $animalName has $intelligence intelligence.\n"; } else { print ''Sorry, no records found.''; } //清除语句源 mysqli_stmt_close( $stmt ); } mysqli_close( $connect ); ?> 该mysqli扩展提供了一组函数用于构 |
||||||||||
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |