Question

在那里,我对涉及一些用户投入的MySQL数据库做了一些询问。我也想知道,如何防止注射袭击,例如,有人是否要打字。

"; a-MySQL query here;"

这将付诸实施,这将使人们能够利用我的系统。我不禁要问,我如何保护他们免受类似情况的影响,可能产生一种功能,过滤对坏陈述的质疑? 或者也许不允许;性质?

To sum it all up:

Whats the common practice now adays to prevent injection attacks?
How should I go about it?
How effective will this solution be against people who know what they are doing from changing my database.

Answer 1

唯一途径是适当逃脱用户提交的数据。其他人指出了这样做的一些方法。

另一种方式:prepared statements and place holder. 发言稿由modern支持。 PHP数据库接口,包括msqli 和 PDO。

让我们利用发展署作为示范。让我们说,我们希望更新一个用户提交的<代码>foo上的数据范围。

$sql =  UPDATE foo SET bar = ? WHERE user_id = ? ;
$sh = $db->prepare($sql);
$sh->execute(array( $_POST[ bar ], $_SESSION[ user_id ] ));

转至<代码>execute的阵列中的变量取代提问标的持有人。当发生这种情况时,他们就自动逃脱并引述<>>。你们不需要人工逃脱,让他们安全地进入数据库!

另一方面,你仍需要为意外内容过滤,如超文本、 Java字、你预期数字的字母等。在数据库中安全插入数据是:。

Answer 2

更不用说<代码>mysql_einski_string 备选案文是使用PDO的约束性询问,因此不可能忘记或误用案件,因为PDO在情况需要时会为你做事。

Answer 3

$var = mysql_real_escape_string($_GET[ var ]);
$query = "INSERT INTO foo (var) VALUES ("$var");

强行在你知道的变量上进行分类的做法总是好的做法。例如,数字标识:

<代码>id = (INT)$_GET[id];

或

$id = ( is_numeric($_GET[ id ]) ? (INT)$_GET[ id ] : -1; // replace -1 with FALSE, 或 NULL, etc

Which will f或ce that variable to be an Integer so you won t end up with $id being "foo" 或 some other non-numeric.