本文以實例形式詳細分析了PHP防止注入攻擊的方法。分享給大家供大家參考。具體分析如下:
PHP addslashes() 函數--單撇號加斜線轉義
PHP String 函數
定義和用法
addslashes() 函數在指定的預定義字符前添加反斜槓。
這些預定義字符是:
單引號 (')
雙引號 (")
反斜槓 (\)
NULL
語法:
addslashes(string)
參數 描述提示和注釋
提示:該函數可用於為存儲在數據庫中的字符串以及數據庫查詢語句准備合適的字符串。
注釋:默認情況下,PHP 指令 magic_quotes_gpc 為 on,對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。
例子
在本例中,我們要向字符串中的預定義字符添加反斜槓:
復制代碼 代碼如下:<?php
$str = "Who's John Adams?";
echo $str . " This is not safe in a database query.<br />";
echo addslashes($str) . " This is safe in a database query.";
?>
輸出:
Who's John Adams? This is not safe in a database query.
Who\'s John Adams? This is safe in a database query.
get_magic_quotes_gpc函數
復制代碼 代碼如下:function html($str)
{
$str = get_magic_quotes_gpc()?$str:addslashes($str);
return $str;
}
get_magic_quotes_gpc:
取得 PHP 環境變數 magic_quotes_gpc 的值。
語法: long get_magic_quotes_gpc(void);
傳回值: 長整數
函式種類: PHP 系統功能
內容說明:
本函式取得 PHP 環境設定的變數 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。傳回 0 表示關閉本功能;傳回 1 表示本功能開啟。當 magic_quotes_gpc 開啟時,所有的 ' (單引號), " (雙引號), \ (反斜線) and 空字符會自動轉為含有反斜線的溢出字符。
addslashes -- 使用反斜線引用字符串
描述:
string addslashes ( string str)
返回字符串,該字符串為了數據庫查詢語句等的需要在某些字符前加上了反斜線。這些字符是單引號(')、雙引號(")、反斜線(\)與 NUL(NULL 字符)。
一個使用 addslashes() 的例子是當你要往數據庫中輸入數據時。例如,將名字 O'reilly 插入到數據庫中,這就需要對其進行轉義。大多數據庫使用 \ 作為轉義符:O\'reilly。這樣可以將數據放入數據庫中,而不會插入額外的 \。當 PHP 指令 magic_quotes_sybase 被設置成 on 時,意味著插入 ' 時將使用 ' 進行轉義。
默認情況下,PHP 指令 magic_quotes_gpc 為 on,它主要是對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。
例子 1. addslashes() 示例
復制代碼 代碼如下:$str = "Is your name O'reilly?";
// 輸出:Is your name O\'reilly?
echo addslashes($str);
?>
get_magic_quotes_gpc()
本函數取得 PHP 環境配置的變量 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。返回 0 表示關閉本功能;返回 1 表示本功能打開。當 magic_quotes_gpc 打開時,所有的 ' (單引號), " (雙引號), \ (反斜線) and 空字符會自動轉為含有反斜線的溢出字符。
magic_quotes_gpc
對於 php.ini 中的 magic_quotes_gpc,是設置為 off 還是為 on 呢?
個人觀點,應該設置為 on
總結如下:
1. 對於magic_quotes_gpc=on的情況,
我們可以不對輸入和輸出數據庫的字符串數據作
addslashes()和stripslashes()的操作,數據也會正常顯示。
如果此時你對輸入的數據作了addslashes()處理,
那麼在輸出的時候就必須使用stripslashes()去掉多余的反斜槓。
2. 對於magic_quotes_gpc=off 的情況
必須使用addslashes()對輸入數據進行處理,但並不需要使用stripslashes()格式化輸出
因為addslashes()並未將反斜槓一起寫入數據庫,只是幫助mysql完成了sql語句的執行。
補充:
magic_quotes_gpc 作用范圍是:WEB客戶服務端;作用時間:請求開始時,例如當腳本運行時.
magic_quotes_runtime 作用范圍:從文件中讀取的數據或執行exec()的結果或是從SQL查詢中得到的;作用時間:每次當腳本訪問運行狀態中產生的數據
代碼:
復制代碼 代碼如下:<?php
/*
有時表單提交的變量不止一個,可能有十幾個,幾十個。那麼一次一次地復制/粘帖addslashes(),是否麻煩了一點?由於從表單或URL獲取的數據都是以數組形式出現的,如$_POST、$_GET)那就自定義一個可以“橫掃千軍”的函數
*/
function quotes($content)
{
//如果magic_quotes_gpc=Off,那麼就開始處理
if (!get_magic_quotes_gpc()) {
//判斷$content是否為數組
if (is_array($content)) {
//如果$content是數組,那麼就處理它的每一個單無
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是數組,那麼就僅處理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On,那麼就不處理
}
//返回$content
return $content;
}
?>
希望本文所述對大家的PHP程序設計有所幫助。
如果用戶輸入的是直接插入到一個SQL語句中的查詢,應用程序會很容易受到SQL注入,例如下面的例子:$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 這是因為用戶可以輸入類似VALUE“); DROP TABLE表; - ,使查詢變成:使用預備義語句和參數化查詢。對於帶有任何參數的sql語句都會被發送到數據庫服務器,並被解析!對於攻擊者想要惡意注入sql是不可能的!實現這一目標基本上有兩種選擇:1.使用PDO(PHP Data Objects ):$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2.使用mysqli:$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO(PHP數據對象) 注意當使用PDO訪問MySQL數據庫真正的預備義語句並不是默認使用的!為了解決這個問題,你必須禁用仿真准備好的語句。使用PDO創建連接的例子如下:$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);在上面例子中錯誤模式ERRMODE不是嚴格必須的,但是建議添加它。當運行出錯產生致命錯誤時,這種方法腳本不會停止。並給開發人員捕捉任何錯誤的機會(當拋出PDOException異常時)。setAttribute()那一行是強制性的,它告訴PDO禁用仿真預備義語句,使用真正的預備義語句。這可以確保語句和值在發送給MySQL數據庫服務器前不被PHP解析(攻擊者沒有機會注入惡意的SQL).當然你可以在構造函數選項中設置字符集參數,特別注意'老'的PHP版本(5.3.6)會在DSN中忽略掉字符集參數。這裡最重要的是,該參數值是和預編譯的語句結合的,而不是和一個SQL字符串.SQL注入的工作原理是通過欺騙手段創建的SQL腳本包括惡意字符串發......余下全文>>
我認為最重要的一點,就是要對數據類型進行檢查和轉義。總結的幾點規則如下: php.ini 中的 display_errors 選項,應該設為 display_errors = off。這樣 php 腳本出錯之後,不會在 web 頁面輸出錯誤,以免讓攻擊者分析出有作的信息。 調用mysql_query 等 mysql 函數時,前面應該加上 @,即 @mysql_query(...),這樣 mysql 錯誤不會被輸出。同理以免讓攻擊者分析出有用的信息。另外,有些程序員在做開發時,當 mysql_query出錯時,習慣輸出錯誤以及 sql 語句,例如: $t_strSQL = "SELECT a from b....";
if ( mysql_query($t_strSQL) ){// 正確的處理}else{echo "錯誤! SQL 語句:$t_strSQL \r\n錯誤信息".mysql_query();exit;}這種做法是相當危險和愚蠢的。如果一定要這麼做,最好在網站的配置文件中,設一個全局變量或定義一個宏,設一下 debug 標志: 全局配置文件中:
define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE
//調用腳本中:
php /************************* 說明: 判斷傳遞的變量中是否含有非法字符 如$_POST、$_GET 功能: 防注入 **************************/ //要過濾的非法字符$ArrFiltrate=array("'",";","union"); //出錯後要跳轉的url,不填則默認前一頁$StrGoUrl=""; //是否存在數組中的值function FunStringExist($StrFiltrate,$ArrFiltrate){ foreach ($ArrFiltrate as $key=>$value){ if (eregi($value,$StrFiltrate)){ returntrue; } } returnfalse; } //合並$_POST 和 $_GETif(function_exists(array_merge)){ $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); }else{ foreach($HTTP_POST_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } } //驗證開始foreach($ArrPostAndGet as $key=>$value){ if (FunStringExist($value,$ArrFiltrate)){ echo "alert(\"非法字符\");"; if (empty($StrGoUrl)){ echo &q......余下全文>>