php sql注入如何实现,说说PHP中的SQL注入

最近在工作中遇到一个 SQL 注入，虽然影响不是很大，但也足够让我静下来思考，SQL 注入问题好像很简单、好像每个人都明白，但在实际的开发中还是会出现这样低级的错误，出现这样的问题个人觉得和 PHP 开发随意化有关，第二个原因可能是没有明白 SQL 注入的原理。

什么是 SQL 注入

在应用程序中，为了和用户交互，允许用户输入数据，假如开发者不慎重出现漏洞，攻击者输入一些特殊的字符从而让应用程序执行了危险的 SQL 操作。危险可大可小，小的泄漏了机密数据(比如用户信息)，大的危害可能会删除整个数据库。

SQL 注入根本的原因就在于被攻击者构建了危险的 SQL，看 PHP 中的一个例子：

$sql = "select * from tb where name='" . $name . "'";

mysql_query($sql);

这时候假如 $name 的值被恶意输入 1' OR '1'='1，则最后的 SQL 就是select * from tb where name='1' OR '1'='1'，从而查询出了所有的表数据，这就是比较简单的 SQL 注入。

构建危险 SQL 的主要原因在于 SQL 语句中的“双引号”、“单引号”、“关键字”。利用这些字符攻击者可以构建出很多其他语义的 SQL。

如何避免 SQL 注入

上面说到 SQL 注入的原因在于“双引号”、“单引号”、“关键字”，所以预防的方法就在于“破坏”这些特殊字符。主要有两种方法：

(1)过滤数据

在开发程序的时候，根据应用的限制，应该明确规定用户输入的数据是什么类型的，比如是字符串，还是整型，或者是富文本数据，应用程序就必须严格的限制，比如某些输入假如过滤了“单引号”等特殊符号，自然就构建不起危险的 SQL 了。

为什么在 PHP 语言中会出现很多的低级操作呢？有部分原因就在于 PHP 太灵活了，比如在数据层直接使用$_GET变量的值构建 SQL，从而导致问题。当然这不完全是语言的问题，主要在于语言结构太灵活，开发者肆无忌惮导致的。

(2)转义数据

由于“双引号”、“单引号”等特殊字符在 SQL 语句中有特殊的能力(指令)，所以用户输入的这些特殊符号在构建 SQL 的时候就也有了特殊的含义，假如我们通过一种方式让用户输入的特殊符号没有其特殊能力(只有字符本身的含义)，那么就不会出现 SQL 注入了，这种方式就是转义，在 MySql 中内置了这样的函数 mysql_real_escape_string()。

SQL 中 select/update/delete/insert 语句都需要转义，对于 insert 语句来说，转义不代表插入的数据在表中多了个反斜杠字符，这个概念一定要清楚，在数据库存储里面是不会放入反斜杠转义符号的。

接下来重点看看如何在 PHP 中进行转义数据。

mysql(mysqli) 扩展库

PHP 语言是从 C 语言发展而来的，所以早期其实很多函数和 C 语言函数同名，这也说明大部分 PHP 函数的实现就是调用 C 语言函数库。MySql 扩展就是典型的一个函数库(调用本地的 C 命令函数库)。

PHP 中的 mysql_real_escape_string() 函数就是执行转义的，只要在输入的数据变量上调用这个函数，就能解决大部分注入问题。

这个函数很简单，这里说说一个很古老的函数 addslashes()，在我早期使用 PHP 过程中，经常遇到这个函数，它也能对字符串进行转义，所以很多人用它代替 mysql_real_escape_string() 函数，其实这是不对的一种方法，因为两者转义的具体字符是不一样的，同时 addslashes() 不并是专门用户转义数据库中的字符。

抛开数据库操作来说，在如今的 PHP 中也不建议使用 addslashes() 函数，在 PHP 早期版本中，$_GET或$_POST 数据会自动进行 addslashes() 调用(猜测是为了保证数据的安全)，可也破坏了一个规则——不应该修改用户的原始数据，所以在新版本 PHP 中，这个函数对应的 magic_quotes_gpc 指令是关闭的，但是从我的角度来看，PHP 开发者应该尽量去忘记这个函数的存在。

PDO

如何理解 PDO 呢？可以看看 mysqli 包的一些弱点：

PHP 开发者可能会操作 MySql 或者其他类型的数据库，但是 mysqli 库只能操作 MySql,对于 PHP 开发者来说没有统一的接口去操作 SQL 语言(注意不是操作数据库)。

mysqli 上的一些 SQL 操作功能缺乏，比如没有事务处理等等。

而 PDO 就能解决上述两个问题，而具体到转义操作上，PDO 通过Prepared Queries让你来构建更安全的 SQL 语句，对于 mysql_real_escape_string() 来说开发者还是需要自己构建 SQL 语句，而 PDO 可以提供更优雅的方式操作 SQL。

$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");

$stmt->execute(array(':name' => $name, ':id' => $id));

$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

$stmt = $db->prepare("UPDATE table SET name=? WHERE id=?");

$stmt->execute(array($name, $id));

$affected_rows = $stmt->rowCount();