简单背景:sql注入是web安全领域里一个挺热门的话题。sql注入主要是由于拼接sql语句造成的,攻击者通过传入非法的参数使拼接成的sql变成非程序员本意的sql查询,攻击者可以完成登录,删除用户数据甚至危害系统安全。
通过stackoverflow,可以找到比较安全的防范方法,主要有两种方式:mysqli和pdo。这两种都是通过预定义和参数绑定处理的,几乎可以防止任何的sql注入。
对于只用到mysql基础查询的用户来说,可以通过一些转义和过滤的方式来防范一些简单的sql注入。代码如下:
public function prevent_injection($temp){
//过滤关键字
$temp = preg_replace('/select|and|or|insert|update|delete|union|where|having|limit|group|oder|use/i', '', $temp);
if(is_numeric($temp)){
//类型检测
$temp = intval($temp);
}else if(!get_magic_quotes_gpc()){
//转义
$temp = addslashes($temp);
}
return $temp;
}
注:通过addslashes和mysql_real_escape_string方法,攻击者可以通过编码的方式绕过检测,但是对于一些简单的攻击这样处理也可以。