mysql防重sql 如何防止mysql数据库攻击

PHP编程下有效防止MySQL数据库注入攻击

2009-07-11 09:46

SQL注入是网站危险的最重要来源之一.黑客往往会向一个网页表单提交一些恶意代码来达到一些注入目的.要了解注入的过程.我们先来看一下如下的基础SQL SELECT语句:

 SELECT * FROM xmen WHERE username = 'wolverine'

 以上SQL查询会返回“xmen”表中username(用户名)=“wolverine”的数据记录。

 其中wolverine为用户通过表单提交,设想黑客使用如下用户名

 ' OR ''=''

 你可能认为使用正常的PHP和MySQL句法执行输入是安全的，因为每当有人输入恶意代码，他们将会得到一个“无效的查询”的消息，但事实并非如此。黑客很聪明，且因为涉及数据库清理和重设管理权限，任何一个安全漏洞都不容易纠正。

 两种对MySQL注入攻击的常见误解如下：

 1.网管认为恶意注入可用防病毒软件或反间谍软件清理。事实是，这种类型的感染利用了MySQL数据库的弱点。它不能简单地被任何反间谍软件或防病毒程序删除。

 2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。事实并非如此。这种类型的感染是由于有人将恶意代码输入到网站不受保护表单，然后访问数据库。MySQL注入可通过删除恶意脚本清除掉，而不是使用防病毒程序。

 用户输入验证流程

 备份一个清洁的数据库，并放置在服务器外。输出一套MySQL表并保存在桌面。

 然后转到服务器，先暂时关闭表单输入。这意味着表单不能处理数据，网站被关闭了。

 然后启动清理进程。首先，在您的服务器上，清理遗留的混乱的MySQL注入。更改所有的数据库，FTP和网站的密码。

 在最坏的情况下，如果你清理迟了，你可以再次检查在您服务器上运行的隐藏程序。这些隐藏程序是黑客安装的木马。将其完全删除并更改所有FTP权限。扫描服务器上所有木马程序和恶意软件。

 当您修改PHP脚本程序时，将处理表单数据。防止MySQL注入的一个好办法是：连用户数据也不信任。用户输入验证对于防止MySQL注入是相当重要的。

 设计一个过滤器筛选出用户输入，以下是几点提示：

 1.输入到表单的是数字。你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。

 2.如果是Email地址。验证其是否由允许的字符组合构成，如“ @ ” ，A-Z,a-z或一些数字。

 3.如果是人名或用户名。可以通过是否包含任何非法字符验证它，如and和*,是可用于SQL注入的恶意字符。

 验证数字输入

 下面的脚本验证了是否输入一个从0.001至无限大的有效数字。值得一提的是，在一个PHP程序中，甚至可以允许使用一定范围内的数字。使用此验证脚本可确保输入到表单的只是一个数字。

 假设在程序中有三个数字变量;您需要将它们进行验证，我们将它们命名num1 ， num2和num3：

//Validate numerical input

  if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001){

  }else{

  }

  ?>

 And条件可被延长到能容纳超过三个数字。所以，如果你有10个，您将只需要扩展AND语句。

 这可以用来验证一个只接受数字的表单，如合同数量，许可证号码，电话号码等。

 验证文字和邮件地址的输入

 以下可以用于验证诸如用户名，名字以及电子邮件地址的表单输入：

//Validate text input

  if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name'])){

  }

  elseif ($empty==0){

  }else{

  }

  ?>

 这样做的目的很明确,就是要验证有效的用户输入.在提交服务器之前就把非法字符过滤掉.