实例来自:这是来自PHP和 MySQL web开发(第四版)中的一段代码。记录下测试中遇到的问题和实现的过程
我们首先应该打开数据库:
使用
mysql -u root -p
进入数据库之后,我们选择创建数据库,名字叫做books,然后生成表。
create database books;
在创建一个数据表:
create table books ( isbn char(13) not null primary key, author char(50), title char(100), price float(4,2));
查看构建的表的内容。
describe books;
结果:
查看一下该表,此时表示空的:
下面我们要通过web访问数据库,并且向数据库books中插入 元素。
然后我们要给用户授予权限:(用户名字为bookorama,登录密码是bookorama123)
grant all on books to bookorama@localhost identified by "bookorama123";
意思是给bookorama 对books数据库的所有权限(包括插入,删除,更新等等)
先看一下 web页面:
然后我们看一下页面的html代码:
<html>
<head>
<title> Book-O-Rama -New Book Entry </title>
</head>
<body>
<h1> Book-O-Rama -New Book Entry </h1>
<form action = "insert_book.php" method = "post">
<table boder = "0">
<tr>
<td>ISBN </td>
<td><input type = "text" name = "isbn" maxlength = "13" size = "13"> </td>
</tr>
<tr>
<td>Author </td>
<td><input type = "text" name = "author" maxlength = "30" size = "30">
</td>
</tr>
<tr>
<td>Title </td>
<td><input type = "text" name = "title" maxlength = "60" size = "30">
</td>
</tr>
<tr>
<td>Price $</td>
<td><input type = "text" name = "price" maxlength = "7" size = "7">
</td>
</tr>
<tr>
<td colspan = "2"><input type = "submit" value = "Register" ></td>
</tr>
</table>
</form>
</body>
</html>
看一下对应的 insert_book.php的代码:
<html>
<head>
<title> Book-O-Rama Search Results </title>
</head>
<body>
<h1> Book-O-Rama Entry Results</h1>
<?php
//create short variable names
$isbn = $_POST['isbn'];
$author = $_POST['author'];
$title = $_POST['title'];
$price = $_POST['price'];
if(!$isbn || !$author || !$title || !$price)
{
echo 'You have not entered all the required'
.'detals.please go back and try again';
exit;
}
else
{
echo 'input successfully';
echo '</br>';
}
if(!get_magic_quotes_gpc())
{
$isbn = addslashes($isbn);
$author = addslashes($author);
$title = addslashes($title);
$price = doubleval($price);
}
echo "$isbn ";
echo "$author ";
echo "$title ";
echo "$price ";
@ $db = new mysqli('localhost','bookorama','bookorama123','books');
if(mysqli_connect_errno())
{
echo 'Error: Could not connect to database,please try again later';
exit;
}
else
{
echo ' Connect database successfully.!';
echo ' </br>';
}
$query = "INSERT INTO books VALUES
('$isbn','$author','$title','$price')";
echo $query;
$result = $db->query($query)or die($db->error);
// echo $result;
if($result)
{
echo $db->affected_rows.'books insert into database.';
}
else
{
echo mysql_erron()."".mysql_error();
echo "An error has occurred.the item was not added";
}
$db->close();
?>
</body>
</html>
执行后的结果:
成功插入到数据库中,此时我们看一下数据库中的内容。
到这里可以看到该条记录成功插入到数据库中。
记录一下本次测试遇到的问题:
1. 如果你已经插入过一条记录,然后插入一条主键完全一模一样的记录的时候,这个时候会提示你插入重复。看下图
它会告诉你 Duplicate entry。
使用Prepared语句:
@ $db = new mysqli('localhost','bookorama','bookorama123','books');
if(mysqli_connect_errno())
{
echo 'Error: Could not connect to database,please try again later';
exit;
}
else
{
echo ' Connect database successfully.!';
echo ' </br>';
}
$query = "INSERT INTO books VALUES
('$isbn','$author','$title','$price')";
echo $query;
$result = $db->query($query)or die($db->error);
// echo $result;
if($result)
{
echo $db->affected_rows.'books insert into database.';
}
else
{
echo mysql_erron()."".mysql_error();
echo "An error has occurred.the item was not added";
}
$db->close();
这部分的代码可以使用Prepared语句替代:
$query = "insert into books values(?,?,?,?)";
$stmt = $db->prepare($query);
$stmt->bind_param("sssd",$isbn,$author,$title,$price);
$stmt->execute();
echo $stmt->affected_rows.' book inserted into database.';
$stmt->close();
书上给出的prepared 语句的使用在于执行大量具有不同数据的相同查询时候,可以提高执行速度,可以免受SQL注射风格的攻击。感觉不是特别懂。google一下
prepared 语句的基本思想是可以首先向MySQL发送一个需要执行的查询模板,这个模板中是没有特定数据的,然后我们可以向这个prepared语句中发送大量的相同数据。
首先个人理解:(理解可能是错误的,如果有高手看到请指出错误,感激不尽~) 提高执行速度的原因:
当执行大批量数据查询的时候,只发送单独的数据,可以省去前面 插入的那段语句(insert into books values),因为首先把模板发到MySQL去了,所以后面我们只需要发送你模板中所需要的数据。我觉得首先这一点可以提高执行的速度。不知道这样理解有没有错误。
SQL注射:
一、什么是SQL注入
如果你打算永远不使用某些数据的话,那么把它们存储于一个数据库是毫无意义的;因为数据库的设计目的是为了方便地 存取和操作数据库中的数据。但是,如果只是简单地这样做则有可能会导致潜在的灾难。这种情况并不主要是因为你自己可能偶然删除数据库中的一切;而是因为, 当你试图完成某项“无辜”的任务时,你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。我们称这种取代为“注入”。
其实,每当你要求用户输入构造一个数据库查询,你是在允许该用户参与构建一个存取数据库服务器的命令。一位友好的 用户可能对实现这样的操作感觉很满意;然而,一位恶意的用户将会试图发现一种方法来扭曲该命令,从而导致该被的扭曲命令删除数据,甚至做出更为危险的事 情。作为一个程序员,你的任务是寻找一种方法来避免这样的恶意攻击。
如果你打算永远不使用某些数据的话,那么把它们存储于一个数据库是毫无意义的;因为数据库的设计目的是为了方便地 存取和操作数据库中的数据。但是,如果只是简单地这样做则有可能会导致潜在的灾难。这种情况并不主要是因为你自己可能偶然删除数据库中的一切;而是因为, 当你试图完成某项“无辜”的任务时,你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。我们称这种取代为“注入”。
其实,每当你要求用户输入构造一个数据库查询,你是在允许该用户参与构建一个存取数据库服务器的命令。一位友好的 用户可能对实现这样的操作感觉很满意;然而,一位恶意的用户将会试图发现一种方法来扭曲该命令,从而导致该被的扭曲命令删除数据,甚至做出更为危险的事 情。作为一个程序员,你的任务是寻找一种方法来避免这样的恶意攻击。
二、SQL注入工作原理
构造一个数据库查询是一个非常直接的过程。典型地,它会遵循如下思路来实现。仅为说明问题,我们将假定你有一个葡萄酒数据库表格“wines”,其中有一个字段为“variety”(即葡萄酒类型):
1.提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为“lagrein”的葡萄酒。
2.检索该用户的搜索术语,并且保存它-通过把它赋给一个如下所示的变量来实现:
$variety = $_POST['variety'];
因此,变量$variety的值现在为:
lagrein
3.然后,使用该变量在WHERE子句中构造一个数据库查询:
$query = "SELECT * FROM wines WHERE variety='$variety'";
所以,变量$query的值现在如下所示:
SELECT * FROM wines WHERE variety='lagrein'
4.把该查询提交给MySQL服务器。
5.MySQL返回wines表格中的所有记录-其中,字段variety的值为“lagrein”。
到目前为止,这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是,有时我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在,让我们再重新分析一下刚才构建的查询。
1.你创建的这个查询的固定部分以一个单引号结束,你将使用它来描述变量值的开始:
$query = " SELECT * FROM wines WHERE variety = '";
2.使用原有的固定不变的部分与包含用户提交的变量的值:
$query .= $variety;
3.然后,你使用另一个单引号来连接此结果-描述该变量值的结束:
$ query .= "'";
于是,$query的值如下所示:
SELECT * FROM wines WHERE variety = 'lagrein'
这个构造的成功依赖用户的输入。在本文示例中,你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。因此,该查询的构建是无任何问题的,并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在,让我们想象,既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型,而是输入了下列内容(注意包括其中的两个标点符号):
lagrein' or 1=1;
现在,你继续使用前面固定的部分来构造你的查询(在此,我们仅显示$query变量的结果值):
SELECT * FROM wines WHERE variety = '
然后,你使用包含用户输入内容的变量的值与之进行连接(在此,以粗体显示):
SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;
最后,添加上下面的下引号:
SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'
于是,这个查询结果与你的期望会相当不同。事实上,现在你的查询包含的不是一条而是两条指令,因为用户输入的最后的分号已经结束了第一条指令(进行记录选择)从而开始了一条新的指令。在本例中,第二条指令,除了一个简单的单引号之外别无意义;但是,第一条指令也不是你所想实现的。当用户把一个单引号放到他的输入内容的中间时,他结束了期望的变量的值,并且引入了另一个条件。因此,不再是检索那些variety为"lagrein"的记录,而是在检索那些满足两个标准中任何一个(第一个是你的,而第二个是他的-variety为"lagrein"或1等于1)的记录。既然1总是1,因此,你会检索到所有的记录!
你可能反对:我不会使用双引号来代替单引号来描述用户提交的变量吗?不错,这至少可以减慢恶意用户的攻击。(在以前的文章中,我们提醒过你:应该禁止所有对用户的错误通知信息。如果在此生成一条错误消息,那么,它有可能恰恰帮助了攻击者-提供一个关于他的攻击为什么失败的具体的解释。)
在实践中,使你的用户能够看到所有的记录而不只是其中的一部分乍看起来似乎不太费事,但实际上,这的确费事不少;看到所有的记录能够很容易地向他提供有关于该表格的内部结构,从而也就向他提供了使其以后实现更为恶毒目的的一个重要参考。如果你的数据库中不是包含显然无害的酒之类信息而是包含例如一个含有雇员年收入的列表,那么,刚才描述情形会是特别真实的。
而从理论角度分析,这种攻击也的确是一件很可怕的事情。由于把意外的内容注入到你的查询中,所以,此用户能够实现把你的数据库存取转化为用于实现他自己的目的。因此现在,你的数据库已经对他打开-正如对你敞开一样。
了解到上诉的基本只是之后,现在有点理解prepare语句的作用了
构造一个数据库查询是一个非常直接的过程。典型地,它会遵循如下思路来实现。仅为说明问题,我们将假定你有一个葡萄酒数据库表格“wines”,其中有一个字段为“variety”(即葡萄酒类型):
1.提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为“lagrein”的葡萄酒。
2.检索该用户的搜索术语,并且保存它-通过把它赋给一个如下所示的变量来实现:
$variety = $_POST['variety'];
因此,变量$variety的值现在为:
lagrein
3.然后,使用该变量在WHERE子句中构造一个数据库查询:
$query = "SELECT * FROM wines WHERE variety='$variety'";
所以,变量$query的值现在如下所示:
SELECT * FROM wines WHERE variety='lagrein'
4.把该查询提交给MySQL服务器。
5.MySQL返回wines表格中的所有记录-其中,字段variety的值为“lagrein”。
到目前为止,这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是,有时我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在,让我们再重新分析一下刚才构建的查询。
1.你创建的这个查询的固定部分以一个单引号结束,你将使用它来描述变量值的开始:
$query = " SELECT * FROM wines WHERE variety = '";
2.使用原有的固定不变的部分与包含用户提交的变量的值:
$query .= $variety;
3.然后,你使用另一个单引号来连接此结果-描述该变量值的结束:
$ query .= "'";
于是,$query的值如下所示:
SELECT * FROM wines WHERE variety = 'lagrein'
这个构造的成功依赖用户的输入。在本文示例中,你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。因此,该查询的构建是无任何问题的,并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在,让我们想象,既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型,而是输入了下列内容(注意包括其中的两个标点符号):
lagrein' or 1=1;
现在,你继续使用前面固定的部分来构造你的查询(在此,我们仅显示$query变量的结果值):
SELECT * FROM wines WHERE variety = '
然后,你使用包含用户输入内容的变量的值与之进行连接(在此,以粗体显示):
SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;
最后,添加上下面的下引号:
SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'
于是,这个查询结果与你的期望会相当不同。事实上,现在你的查询包含的不是一条而是两条指令,因为用户输入的最后的分号已经结束了第一条指令(进行记录选择)从而开始了一条新的指令。在本例中,第二条指令,除了一个简单的单引号之外别无意义;但是,第一条指令也不是你所想实现的。当用户把一个单引号放到他的输入内容的中间时,他结束了期望的变量的值,并且引入了另一个条件。因此,不再是检索那些variety为"lagrein"的记录,而是在检索那些满足两个标准中任何一个(第一个是你的,而第二个是他的-variety为"lagrein"或1等于1)的记录。既然1总是1,因此,你会检索到所有的记录!
你可能反对:我不会使用双引号来代替单引号来描述用户提交的变量吗?不错,这至少可以减慢恶意用户的攻击。(在以前的文章中,我们提醒过你:应该禁止所有对用户的错误通知信息。如果在此生成一条错误消息,那么,它有可能恰恰帮助了攻击者-提供一个关于他的攻击为什么失败的具体的解释。)
在实践中,使你的用户能够看到所有的记录而不只是其中的一部分乍看起来似乎不太费事,但实际上,这的确费事不少;看到所有的记录能够很容易地向他提供有关于该表格的内部结构,从而也就向他提供了使其以后实现更为恶毒目的的一个重要参考。如果你的数据库中不是包含显然无害的酒之类信息而是包含例如一个含有雇员年收入的列表,那么,刚才描述情形会是特别真实的。
而从理论角度分析,这种攻击也的确是一件很可怕的事情。由于把意外的内容注入到你的查询中,所以,此用户能够实现把你的数据库存取转化为用于实现他自己的目的。因此现在,你的数据库已经对他打开-正如对你敞开一样。
了解到上诉的基本只是之后,现在有点理解prepare语句的作用了
如果在编写SQL语句的时候,用户输入的变量不是直接嵌入到SQL语句。而是通过参数来传递这个变
量的话,那么就可以有效的防治SQL注入式攻击。也就是说,用户的输入绝对不能够直接被嵌入到SQL语
句中。与此相反,用户的输入的内容必须进行过滤,或者使用参数化的语句来传递用户输入的变量。参
数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。采用这种措施,可以杜绝大部分的SQL注
入式攻击。