sql注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。

SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。

为了防止SQL注入攻击,PHP自带一些函数可以对输入的字符串进行处理,例如PHP的MySQL操作函数中有addslashes()、mysql_real_escape_string()、mysql_escape_string()等函数,可将特殊字符和可能引起数据库操作出错的字 符转义。那么这三个功能函数之间有什么却别呢?下面我们就来详细讲述下。


(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 

使用方法如下:

    $sql="select count(*) as ctr from users where username    ='".mysql_real_escape_string($username)."' and    password='".mysql_real_escape_string($pw)."' limit 1";

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。


(2)addslashes防止SQL注入

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。


当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。


(3) 打开magic_quotes_gpc来防止SQL注入


php.ini中有一个设置:magic_quotes_gpc = Off
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
比如把 ' 转为 \'等,对于防止sql注射有重大作用。


最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。


if (!get_magic_quotes_gpc()) {   $lastname = addslashes($_POST[‘lastname’]); } else {   $lastname = $_POST[‘lastname’]; }


再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:

mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。



(4)自定义函数

    functioninject_check($sql_str){    returneregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str);    }    functionverify_id($id=null){    if(!$id){    exit('没有提交参数!');    }elseif(inject_check($id)){    exit('提交的参数非法!');    }elseif(!is_numeric($id)){    exit('提交的参数非法!');    }    $id=intval($id);    return$id;    }         functionstr_check($str){    if(!get_magic_quotes_gpc()){    $str=addslashes($str);// 进行过滤    }    $str=str_replace("_","\_",$str);    $str=str_replace("%","\%",$str);    return$str;    }         functionpost_check($post){    if(!get_magic_quotes_gpc()){    $post=addslashes($post);    }    $post=str_replace("_","\_",$post);    $post=str_replace("%","\%",$post);    $post=nl2br($post);    $post=htmlspecialchars($post);    return$post;    }


总结一下:

addslashes() 是强行加;


mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;mysql_escape_string不考虑连接的当前字符集。


dz 中的防止sql注入就是用addslashes这个函数,同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace(/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/, &\1,这个替换解决了注入的问题,同时也解决了中文乱码的一些问题。