所谓sql注入,是由表单提交时,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好防注入操作。关于这个问题,成熟的方案有很多,现在总结如下:
一,从根源上解决问题,也就是在接受表单提交时,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。
二,使用转义,经常用到的函数有:mysql_real_escape_string(php5已经不用了)和
Addslasher,转义之后,会消除上传参数中一些恶意的特殊符号,如单双引号等等。PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可,没用过,有待验证。关于mysql_real_escape_string有这样的warning:Warning:
As of PHP 5.5.0 mysql_real_escape_string and the mysql extension are deprecated. Please use mysqli extension and mysqli::escape_string function instead 。
所以这里说一下mysql,mysqli和pdo的东西:
PHP-MySQL 是 PHP 操作 MySQL 资料库最原始的 Extension ,PHP-MySQLi 的 i 代表 Improvement ,提更了相对进阶的功能,就 Extension 而言,本身也增加了安全性。而 PDO (PHP Data Object) 则是提供了一个 Abstraction Layer 来操作资料库。
使用mysqli或者使用pdo。
三,限制引入的参数,就是把接收上来的数据和已知数据进行对比,看是否是合法的。
四,对引入参数进行编码
五,使用MySQL存储过程,没怎么用过,正在研究中.
php语句前加@来抑制错误信息。