大多数 PHP 程序员对 MySQL 肯定不陌生,至于各种 MySQL 函数的用法在开发手册和 w3school 这类网站上也有很多介绍。但是,你所用的写法真的安全吗?面对越来越猖獗的黑客攻击,SQL 注入防范非常重要,所以使用 MySQL 也要有更正确的姿势。
关于 SQL 注入
SQL Injection:就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。
具体来说,它是利用现有应用程序,将(恶意)的 SQL 命令注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入(恶意)SQL 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。
在网上可以搜到一些简单例子,通过一步步有目的地调整 url 请求参数,让 server 返回其 MySQL 数据结构及内容,以达到获取敏感数据的目的。
防注入的方法
开发者要使用合适的数据库操作函数,这一点也是开发手册和教程上很少提到的。
举个例子,要实现一个简单的查询功能,一般会这样写:
<?php
$con = mysql_connect("localhost","mysql_user","mysql_pwd");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$username = $_POST['user'];
$password = $_POST['pwd'];
$sql = "SELECT * FROM Person WHERE username=$username AND password=$password";
mysql_query($sql,$con);
// 一些代码
mysql_close($con);
?>
这种用法相当不安全,如果被人盯上,会很容易地进行 sql 注入
所以有不少人推荐使用 mysql_real_escape_string,写法如下:
<?php
$con = mysql_connect("localhost","mysql_user","mysql_pwd");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$username = $_POST['user'];
$password = $_POST['pwd'];
// 如果不是数字则加引号
$username = "'" . mysql_real_escape_string($username) . "'";
$password = "'" . mysql_real_escape_string($password) . "'";
$sql = "SELECT * FROM Person WHERE username=$username AND password=$password";
mysql_query($sql,$con);
// 一些代码
mysql_close($con);
?>
这种方法安全性比第一种更高,但对方还是可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击。另外像一些 str_replace,addslashes 或者使用 magic_quotes_gpc 选项之类的方法,不是已经失效就是仍然有可能被破解。
然而百度一下「PHP 防注入」,仍然有很多文章在介绍上述办法。所以我们这里要郑重提示大家这个风险,提醒所有后来者绕过这个坑。
那么,如今还能幸免于注入的方法就是 Prepared Statement 机制了。这里推荐大家使用 mysqli 方式,mysql 扩展已经在 php5.5 中被废弃,在 php7 中更是直接不支持。为向高版本兼容考虑,新代码尽量使用 mysqli
最终的查询代码就变成了这样:
<?php
$mysqli=new mysqli("localhost","mysql_user","mysql_pwd");
if (mysqli_connect_errno())
{
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
$username = $_POST['user'];
$password = $_POST['pwd'];
if ($stmt = $mysqli->prepare("SELECT * FROM Person WHERE username=? AND password=?"))
{
$stmt->bind_param("ss",$username,$password);
$stmt->execute();
}
// 一些代码
$mysqli->close();
?>
把所有操作 MySQL 的代码都重构成上面这样,那么面对 SQL 注入就可以高枕无忧了。另外 pdo 也有 Prepared Statement 机制,同样能够保护数据库,有兴趣的同学可以自己尝试一下。
OneAPM for PHP 能够深入到所有 PHP 应用内部完成应用性能管理 能够深入到所有 PHP 应用内部完成应用性能管理和监控,包括代码级别性能问题的可见性、性能瓶颈的快速识别与追溯、真实用户体验监控、服务器监控和端到端的应用性能管理。想阅读更多技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客