sql注入
当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击,如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入
防止sql注入
- 永远不要信任用户的输入
- 永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存储
- 永远不要使用管路员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接
- 不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
- 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误进行包装
- sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky
预处理
预处理是一种重要的防止sql注入的手段,对提高网站安全有重要意义
工作原理:
- 创建sql语句模板并发送到数据库,预留的值使用参数“?”标记
- 数据库解析,编译,对sql语句模板执行查询优化,并存储结果不输出
- 执行:将应用绑定的值传递给参数,数据库执行语句
<!-- 用?代替变量
$sql="insert test values(?,?)"
获得$mysqli_stmt对象,一定要传$sql
$mysqli_stmt=$mysqli->prepare($sql); -->
执行预处理语句
if($mysql_stmt->execute()){
echo $mysqli_list->insert_id;
}else{
echo $mysqli_stmt->error;
}
$mysqli->close();
会话识别用户身份
//参数化sql
$sql="select * from `user` where user=? and pwd=?";
if($stmt=$conn->prepare($sql)){
$stmt->bind_param("ss",$user,$pwd);
$stmt->execute();
$stmt->store_result();
if($stmt->num_rows==0){
show_error('输入的用户名或密码错误','login.html');
}
$stmt->close();
}
cookie和session的区别
- cookie数据存放在客户的浏览器上,session数据放在服务器上
- cookie不会很安全,别人可以分析存放在本地的cookie并进行cookie欺骗
- session会在一定时间内保存在服务器上,当访问增多,会占用服务器性能
- 单个cookie保存的数据不能超过4k,很多浏览器都限制一个站点最多保存20个cookie
- 将登陆信息等重要信息存放为session;其它信息如需保留,存放为cookie