PHP與SQL注入攻擊[二]

Magic Quotes

上文提到，SQL注入主要是提交不安全的數據給數據庫來達到攻擊目的。為了防止SQL注入攻擊，PHP自帶一個功能可以對輸入的字符串進行處理，可以在較底層對輸入進行安全上的初步處理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc選項啟用，那么輸入的字符串中的單引號，雙引號和其它一些字符前將會被自動加上反斜杠。

但Magic Quotes并不是一個很通用的解決方案，沒能屏蔽所有有潛在危險的字符，并且在許多服務器上Magic Quotes并沒有被啟用。所以，我們還需要使用其它多種方法來防止SQL注入。

許多數據庫本身就提供這種輸入數據處理功能。例如PHP的MySQL操作函數中有一個叫mysql_real_escape_string()的函數，可將特殊字符和可能引起數據庫操作出錯的字符轉義。

參考：http://cn2.php.net/mysql_real_escape_string有興趣可以看看下面的評論:)

看這段代碼：

//如果Magic Quotes功用啟用if (get_magic_quotes_gpc()) {$name = stripslashes($name);}else{$name = mysql_real_escape_string($name);}

mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);

注意，在我們使用數據庫所帶的功能之前要判斷一下Magic Quotes是否打開，就像上例中那樣，否則兩次重復處理就會出錯。如果MQ已啟用，我們要把加上的去掉才得到真實數據。

除了對以上字符串形式的數據進行預處理之外，儲存Binary數據到數據庫中時，也要注意進行預處理。否則數據可能與數據庫自身的存儲格式相沖突，引起數據庫崩潰，數據記錄丟失，甚至丟失整個庫的數據。有些數據庫如PostgreSQL，提供一個專門用來編碼二進制數據的函數pg_escape_bytea()，它可以對數據進行類似于Base64那樣的編碼。

如：// for plain-text data use:pg_escape_string($regular_strings);

// for binary data use:pg_escape_bytea($binary_data);

另一種情況下，我們也要采用這樣的機制。那就是數據庫系統本身不支持的多字節語言如中文，日語等。其中有些的ASCII范圍和二進制數據的范圍重疊。不過對數據進行編碼將有可能導致像LIKE abc%　這樣的查詢語句失效。