php操做mysql防止sql注入(合集)

因为segmentfault在处理特殊字符时也并不是完美，因此下面文章中有些符号被转换了，请到本人博客下载原文txt http://www.yunxi365.cn/blog/a...

本文将从sql注入风险提及，而且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。

当一个变量从表单传入到php，须要查询mysql的话，须要进行处理。
举例：
$unsafe_variable = $_POST['user_input'];
mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
用户能够输入诸如 ： value'); DROP TABLE table;-- ,SQL语句就变成这样了:
INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')
执行的结果就是table表被删掉了。

这是一种常见的sql注入方法，那么在程序中，应该怎样预防呢?

1.魔术引用 (推荐指数3)
addslashes()与stripslashes()是功能相反的函数。
addslashes()用于对变量中的' " 和NULL添加斜杠，用于避免传入sql语句的参数格式错误，同时若是有人注入子查询，经过加能够将参数解释为内容，而非执行语句，避免被mysql执行。

不过，addslashes()添加的只在php中使用，并不会写入mysql中。
那么，tripslashes()的做用是将加了的php变量去掉，因为不会写入mysql中，因此从mysql查询出来的内容不须要再tripslashes()。

在防注入方面，addslashes()能够防止掉大多数的注入，可是此函数并不会检查变量的编码，当使用例如中文gbk的时候，因为长度比较长 ，会将某些gbk编码解释成两个ascii编码，形成新的注入风险(俗称宽字节注入)。见下面2。

若是从网页表单、php、mysql都使用utf8编码，则没有这个问题。
基于此函数的风险，并不建议使用，推荐使用下面3中的方法。
https://segmentfault.com/q/10...

2. mysql_real_escape_string() (推荐指数4)
因为addslashes()不检测字符集，因此有宽字节注入风险，因此php中添加了这个函数。
这个函数原本是mysql的扩展，可是因为存在宽字节的问题，php基于mysql的扩展开发了此函数。

gbk宽字符漏洞致使的sql注入
https://www.91ri.org/8611.html
http://www.cnblogs.com/suihui...

mysql_real_escape_chars()是mysql_escape_chars()的替代用法。
与addslashes()相比，不只会将' " NOL(ascii的0)转义，还会把r n进行转义。同时会检测数据编码。
按php官方的描述，此函数能够安全的用于mysql。

此函数在使用时会使用于数据库链接(由于要检测字符集)，并根据不一样的字符集作不一样的操做。若是当前链接不存在，刚会使用上一次的链接。

mysql_real_escape_string()防注入详解
此方法在php5.5后不被建议使用，在php7中废除。
参考：https://segmentfault.com/q/10...

3.预处理查询 (Prepared Statements) (推荐指数5)
使用prepared statements（预处理语句）和参数化的查询，能够有效的防止sql注入。

为何预处理和参数化查询能够防止sql注入呢?
在传统的写法中，sql查询语句在程序中拼接，防注入(加斜杠)是在php中处理的，而后就发语句发送到mysql中，mysql其实没有太好的办法对传进来的语句判断哪些是正常的，哪些是恶意的，因此直接查询的方法都有被注入的风险。
在mysql5.1后，提供了相似于jdbc的预处理-参数化查询。它的查询方法是：
a. 先预发送一个sql模板过去
b. 再向mysql发送须要查询的参数
就好像填空题同样，无论参数怎么注入，mysql都能知道这是变量，不会作语义解析，起到防注入的效果，这是在mysql中完成的。

参考：
PHP中如何防止SQL注入
http://blog.csdn.net/sky_zhe/...

参数化查询为何可以防止SQL注入
http://www.cnblogs.com/LoveJe...

上面提供的资料比较多，下面根据本身的理解整理出来。

预处理分为两种:
A.使用mysqli:prepare()实现
看一个完整的用法：
$mysqli = new mysqli("example.com", "user", "password", "database");
$stmt = $mysqli->prepare("SELECT id, label FROM test WHERE id = ?");
$stmt->bind_param(1, $city);
$stmt->execute();
$res = $stmt->get_result();
$row = $res->fetch_assoc();

a.写sql语句，而后用?占位符替代sql中的变量
b.替换变量
c.执行
d.获得一个二进制结果集，从二进制结果中取出php结果集
e.遍历结果集

使用预处理，一条查询分两步，因此很安全。也是php5.5及php7推荐方法。
参考：
http://www.cnblogs.com/liuzha...

B. 使用pdo实现
pdo是一个php官方推荐的数据库抽象层，提供了不少实用的工具。

使用pdo的预处理-参数化查询能够有效防止sql注入。
使用方法跟上面差很少，区别在于pdo提供了更多样的方法。
使用这个pdo->$stmt对象进行查询后，会被结果集覆盖，类型是一个二维数组。

咱们在上面预处理-参数化查询是在mysql中进行防注入操做的，其实pdo也内置了一个预处理的模拟器，叫作ATTR_EMULATE_PREPARES。
默认状况下，PDO会使用DSN中指定的字符集对输入参数进行本地转义（PHP手册中称为native prepared statements），而后拼接成完整的SQL语句，发送给MySQL Server。这有些像咱们平时程序中拼接变量到SQL再执行查询的形式。

这种状况下，PDO驱动可否正确转义输入参数，是拦截SQL注入的关键。然而PHP 5.3.6及老版本，并不支持在DSN中定义charset属性（会忽略之），这时若是使用PDO的本地转义，仍然可能致使SQL注入，

若是ATTR_EMULATE_PREPARES=true(默认状况)，预处理-参数化查询在pdo的模拟器中完成，模拟器根据字符集(dsn参数)进行处理，而后把语句发送给mysql。

若是ATTR_EMULATE_PREPARES=false，sql会分两次把参数给送给mysql，mysql根据自身的字符集(set names <charset>)进行处理，完成查询。

但因为各版本差别，pdo在各版本中的实现程度也不同，有些版本还有bug，咱们以php5.3.6作为分界线来进行说明：

php5.3.6如下版本
$pdo = new PDO("mysql:host=localhost;dbname=test;",'root','pwd');
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
$pdo->exec('set names utf8');
$id = '0 or 1 =1 order by id desc';
$sql = "select * from article where id = ?";
$statement = $pdo->prepare($sql);
$statement->bindParam(1, $id);
$statement->execute();
如上，咱们关闭了本地预处理模拟器，参数会直接分批发送给mysql，由mysql根据set name utf8字符集进行检测，完成sql注入处理。以上代码不会产生注入。

php5.3.6以上版本
$pdo = new PDO("mysql:host=localhost;dbname=test;charset=utf8",'root','pwd');
$pdo->exec('set names utf8');
$id = '0 or 1 =1 order by id desc';
$sql = "select * from article where id = ?";
$statement = $pdo->prepare($sql);
$statement->bindParam(1, $id);
$statement->execute();
在php5.3.6以上版本中，默认状况下ATTR_EMULATE_PREPARES开启，模拟器会根据new PDO()中的charset=utf8进行检测，在模拟器上完成防注入操做。若是把模拟器关闭，也会像低版本同样送交mysql进行防注入处理。

参考：
PDO防注入原理分析以及使用PDO的注意事项
http://zhangxugg-163-com.itey...

PHP 5.3.6及之前版本的PDO的bindParam,bindValue潜在的安全隐患
http://zhangxugg-163-com.itey...

再论php 5.3.6之前版本中的PDO SQL注入漏洞问题
http://my.oschina.net/zxu/blo...

segmentfault讨论
https://segmentfault.com/q/10...

1. html输出与防止xss注入

特殊字符输出
好比' " < >有着特殊的意义，若是直接写到html中输出，会引发dom格式的错乱，那么就须要用到特殊的输出方法。

htmlspecialchars()
用于将一些特殊符号转义成只有浏览器识别的转义符。

举个例子：
$a = " ' ";
<input type="test" value='<?=$a;?>'>
<textarea><?=$a;?></textarea>

上面因为$a的值就是一个' ，当它输出在value=''之间时，会破坏html原有的dom格式，致使html解析错误。
下面那个'输出在标签对之间时没有问题。
上面那个问题怎么解决呢? 能够这样：
<input type="test" value='<?php echo htmlspecialchars($a);?>'>
php会向浏览器输出：
<input type="test" value='&qouts;'>
这个符号只有流量器认识，源码中看到是这样，可是浏览器输出的就是一个'号。

xss注入
xss也就是常说的跨域攻击，这是一种在客户端浏览器上面执行的攻击。
好比在表单或者url参数中，人为写入javascript代码，看起来是普通的文字，可是被浏览器解析后变成可执行的javascript动做，用来作广告或者攻击等等。

举例：
有人在发贴的时候写入了javascript代码，一打开就弹窗口。
<script type="text/javascript">alert("你是个人小苹果!");</scirpt>

对于这种恶意的东西，为了力求安全，咱们便可以在发贴前对可用的html代码进行过滤，也能够用htmlspecialchars()进行转义。
转义后alert()内容变成:
alert("你是个人小苹果!");
虽然看到的文字不变，可是因为转义了，这个alert()只会以文字显示，而不会执行弹窗。

http://netsecurity.51cto.com/...

总结：
1.建议将升级到php 5.3.9+ php 5.4+，php 5.3.8存在致命的hash碰撞漏洞。
2.不要使用基础的php拼接sql语句直接查询，避免使用addslashes()和mysql_real_escape_string()防止注入。
3.推荐使用mysqli或pdo的预处理-参数化查询。
4.pdo默认会使用自带的ATTR_EMULATE_PREPARES模拟器处理sql语句，php5.3.6如下版本使用预处理-参数化时，设置dsn参数(setcahrs=utf8)没用的(多是bug)，因此防注入仍是有缺陷。应将模拟器关闭，pdo会把sql交由mysql进行防注入。
5.php5.3.6以上版本，应设置dsn参数(setchars=utf8)，默认就能够在模拟器防注入。也能够手工关掉模拟器，效果跟上面第4步同样。

来源：http://www.yunxi365.cn/blog/a...