SQL-注入


如果您通过网页获取用户输入并将其插入到 SQL 数据库中,则您可能会遇到称为 SQL注入 的安全问题。本章将教您如何帮助防止这种情况发生,并帮助您保护服务器端脚本(例如 PERL 脚本)中的脚本和 SQL 语句。

SQL注入

SQL 注入是一种通过执行恶意查询来利用数据库中的漏洞的安全攻击。这将使攻击者能够访问敏感数据、篡改数据并永久删除数据。

注入通常发生在您要求用户输入(例如他们的姓名)时,他们给您的不是姓名,而是一条 SQL 语句,您将在不知不觉中在数据库上运行该语句。永远不要相信用户提供的数据,仅在验证后处理该数据;通常,这是通过模式匹配完成的。

例子

在下面的示例中,名称限制为字母数字字符加下划线,长度限制在 8 到 20 个字符之间(您可以根据需要修改这些规则)。

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)) {
   $result = mysqli_query("SELECT * FROM CUSTOMERS 
      WHERE name = $matches[0]");
} else {
   echo "user name not accepted";
}

为了演示这个问题,请考虑以下摘录 -

// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysqli_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");

该函数调用应该从 CUSTOMERS 表中检索一条记录,其中名称列与用户指定的名称相匹配。正常情况下,$name仅包含字母数字字符,可能还包含空格。但在这里,通过向 $name 附加一个全新的查询,对数据库的调用变成了灾难;注入的 DELETE 查询会从 CUSTOMERS 表中删除所有记录。

幸运的是,如果您使用 MySQL,则mysqli_query()函数不允许查询堆栈或在单个函数调用中执行多个 SQL 查询。如果您尝试堆叠查询,则调用会失败。

然而,其他 PHP 数据库扩展(例如SQLitePostgreSQL)很乐意执行堆叠查询,执行一个字符串中提供的所有查询,并产生严重的安全问题。

防止SQL注入

您可以在 PERL 和 PHP 等脚本语言中巧妙地处理所有转义字符。PHP 的 MySQL 扩展提供了函数mysql_real_escape_string()来转义 MySQL 特有的输入字符。

if (get_magic_quotes_gpc()) {
   $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysqli_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");

LIKE 的困境

为了解决 LIKE 困境,自定义转义机制必须将用户提供的“%”和“_”字符转换为文字。使用addcslashes(),该函数可让您指定要转义的字符范围。

$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysqli_query("SELECT * FROM messages 
   WHERE subject LIKE '{$sub}%'");