PHP 如何安全的使用 MySQL ?
大多数 PHP 程序员对 MySQL 确定不陌生,至于各类 MySQL 函数的用法在开发手册和 w3school 这类网站上也有不少介绍。可是,你所用的写法真的安全吗?面对愈来愈猖獗的黑客攻击,SQL 注入防范很是重要,因此使用 MySQL 也要有更正确的姿式。php
###关于 SQL 注入html
SQL Injection:就是经过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。mysql
具体来讲,它是利用现有应用程序,将(恶意)的 SQL 命令注入到后台数据库引擎执行的能力,它能够经过在 Web 表单中输入(恶意)SQL 语句获得一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。程序员
在网上能够搜到一些简单例子,经过一步步有目的地调整 url 请求参数,让 server 返回其 MySQL 数据结构及内容,以达到获取敏感数据的目的。sql
###防注入的方法数据库
开发者要使用合适的数据库操做函数,这一点也是开发手册和教程上不多提到的。 举个例子,要实现一个简单的查询功能,通常会这样写:安全
<?php
$con = mysql_connect("localhost","mysql_user","mysql_pwd");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$username = $_POST['user'];
$password = $_POST['pwd'];
$sql = "SELECT * FROM Person WHERE username=$username AND password=$password";
mysql_query($sql,$con);
// 一些代码
mysql_close($con);
?>
这种用法至关不安全,若是被人盯上,会很容易地进行 sql 注入 因此有很多人推荐使用 mysql_real_escape_string,写法以下:服务器
<?php
$con = mysql_connect("localhost","mysql_user","mysql_pwd");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$username = $_POST['user'];
$password = $_POST['pwd'];
// 若是不是数字则加引号
$username = "'" . mysql_real_escape_string($username) . "'";
$password = "'" . mysql_real_escape_string($password) . "'";
$sql = "SELECT * FROM Person WHERE username=$username AND password=$password";
mysql_query($sql,$con);
// 一些代码
mysql_close($con);
?>
这种方法安全性比第一种更高,但对方仍是能够利用编码的漏洞来实现输入任意密码就能登陆服务器的注入攻击。另外像一些 str_replace,addslashes 或者使用 magic_quotes_gpc 选项之类的方法,不是已经失效就是仍然有可能被破解。php7
然而百度一下「PHP 防注入」,仍然有不少文章在介绍上述办法。因此咱们这里要郑重提示你们这个风险,提醒全部后来者绕过这个坑。数据结构
那么,现在还能幸免于注入的方法就是 Prepared Statement 机制了。这里推荐你们使用 mysqli 方式,mysql 扩展已经在 php5.5 中被废弃,在 php7 中更是直接不支持。为向高版本兼容考虑,新代码尽可能使用 mysqli 最终的查询代码就变成了这样:
<?php
$mysqli=new mysqli("localhost","mysql_user","mysql_pwd");
if (mysqli_connect_errno())
{
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
$username = $_POST['user'];
$password = $_POST['pwd'];
if ($stmt = $mysqli->prepare("SELECT * FROM Person WHERE username=? AND password=?"))
{
$stmt->bind_param("ss",$username,$password);
$stmt->execute();
}
// 一些代码
$mysqli->close();
?>
把全部操做 MySQL 的代码都重构成上面这样,那么面对 SQL 注入就能够高枕无忧了。另外 pdo 也有 Prepared Statement 机制,一样可以保护数据库,有兴趣的同窗能够本身尝试一下。
OneAPM for PHP 可以深刻到全部 PHP 应用内部完成应用性能管理 可以深刻到全部 PHP 应用内部完成应用性能管理和监控,包括代码级别性能问题的可见性、性能瓶颈的快速识别与追溯、真实用户体验监控、服务器监控和端到端的应用性能管理。想阅读更多技术文章,请访问 OneAPM 官方技术博客。 本文转自 OneAPM 官方博客
- 1. PHP 如何安全的使用 MySQL ?
- 2. 如何安装使用PHP MyAdmin
- 3. 如何编写安全的PHP代码
- 4. 如何安全使用dispatch_sync
- 5. PHP如何使用事务
- 6. 如何线程安全的使用HashMap
- 7. [Chromium]如何安全的使用PostTask
- 8. 如何安全的使用KVO
- 9. MySQL如何使用
- 10. 如何提升MySQL的安全性!
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Composer 安装与使用
- • 漫谈MySQL的锁机制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. PHP 如何安全的使用 MySQL ?
- 2. 如何安装使用PHP MyAdmin
- 3. 如何编写安全的PHP代码
- 4. 如何安全使用dispatch_sync
- 5. PHP如何使用事务
- 6. 如何线程安全的使用HashMap
- 7. [Chromium]如何安全的使用PostTask
- 8. 如何安全的使用KVO
- 9. MySQL如何使用
- 10. 如何提升MySQL的安全性!