php中防止SQL注入的方法

本文格式為Word版，下載可任意編輯——php中防止SQL注入的方法php中防止SQL注入的方法

在PHP的學習中，可能你有些無措，不知道哪有有什么簡便的方法可以制止某些處境。以下是我用心為大家整理的在php中防止SQL注入的方法，夢想對大家有所扶助!更多內(nèi)容請關(guān)注應屆畢業(yè)生網(wǎng)!

安好，PHP代碼編寫是一方面，PHP的配置更是分外關(guān)鍵。

我們php手手工安裝的，php的默認配置文件在/usr/local/apache2/conf/php.ini，我們最主要就是要配置php.ini中的內(nèi)容，讓我們執(zhí)行php能夠更安好。整個PHP中的安好設置主要是為了防止phpshell和SQLInjection的攻擊，一下我們逐漸探討。我們先使用任何編輯工具開啟/etc/local/apache2/conf/php.ini，假設你是采用其他方式安裝，配置文件可能不在該目次。

1開啟php的安好模式

php的安好模式是個分外重要的內(nèi)嵌的安好機制，能夠操縱一些php中的函數(shù)，譬如system，

同時把好多文件操作函數(shù)舉行了權(quán)限操縱，也不允許對某些關(guān)鍵文件的文件，譬如/etc/passwd，

但是默認的php.ini是沒有開啟安好模式的，我們把它開啟：

safe_mode=on

2用戶組安好

當safe_mode開啟時，safe_mode_gid被關(guān)閉，那么php腳本能夠?qū)ξ募e行訪問，而且一致

組的用戶也能夠?qū)ξ募e行訪問。

建議設置為：

safe_mode_gid=off

假設不舉行設置，可能我們無法對我們服務器網(wǎng)站目次下的文件舉行操作了，譬如我們需要

對文件舉行操作的時候。

3安好模式下執(zhí)行程序主目次

假設安好模式開啟了，但是卻是要執(zhí)行某些程序的時候，可以指定要執(zhí)行程序的主目次：

safe_mode_exec_dir=D:/usr/bin

一般處境下是不需要執(zhí)行什么程序的，所以推舉不要執(zhí)行系統(tǒng)程序目次，可以指向一個目次，

然后把需要執(zhí)行的程序拷貝過去，譬如：

safe_mode_exec_dir=D:/tmp/cmd

但是，我更推舉不要執(zhí)行任何程序，那么就可以指向我們網(wǎng)頁目次：

safe_mode_exec_dir=D:/usr/

4安好模式下包含文件

假設要在安好模式下包含某些公共文件，那么就修改一下選項：

safe_mode_include_dir=D:/usr//include/

其實一般php腳本中包含文件都是在程序自己已經(jīng)寫好了，這個可以根據(jù)概括需要設置。

5操縱php腳本能訪問的目次

使用open_basedir選項能夠操縱PHP腳本只能訪問指定的目次，這樣能夠制止PHP腳本訪問

不理應訪問的文件，確定程度上限制了phpshell的危害，我們一般可以設置為只能訪問網(wǎng)站目次：

open_basedir=D:/usr/

6關(guān)閉危害函數(shù)

假設開啟了安好模式，那么函數(shù)遏止是可以不需要的，但是我們?yōu)榱税埠眠€是考慮進去。譬如，

我們覺得不夢想執(zhí)行包括system等在那的能夠執(zhí)行命令的php函數(shù)，或者能夠查看php信息的

phpinfo等函數(shù)，那么我們就可以遏止它們：

disable_functions=system,passthru,exec,shell_exec,popen,phpinfo

假設你要遏止任何文件和目次的操作，那么可以關(guān)閉好多文件操作

disable_functions=chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了片面不叫常用的文件處理函數(shù)，你也可以把上面執(zhí)行命令函數(shù)和這個函數(shù)結(jié)合，

就能夠抗拒大片面的phpshell了。

7關(guān)閉PHP版本信息在http頭中的泄漏

我們?yōu)榱朔乐购诳瞳@取服務器中php版本的信息，可以關(guān)閉該信息斜路在http頭中：

expose_php=Off

譬如黑客在80的時候，那么將無法看到PHP的信息。

8關(guān)閉注冊全局變量

在PHP中提交的變量，包括使用POST或者GET提交的變量，都將自動注冊為全局變量，能夠直接訪問，

這是對服務器分外擔心全的，所以我們不能讓它注冊為全局變量，就把注冊全局變量選項關(guān)閉：

register_globals=Off

當然，假設這樣設置了，那么獲取對應變量的時候就要采用合理方式，譬如獲取GET提交的變量var，

那么就要用$_GET[var]來舉行獲取，這個php程序員要留神。

9開啟magic_quotes_gpc來防止SQL注入

SQL注入是分外危害的問題，小那么網(wǎng)站后臺被入侵，重那么整個服務器淪陷，

所以確定要提防。php.ini中有一個設置：

magic_quotes_gpc=Off

這個默認是關(guān)閉的，假設它開啟后將自動把用戶提交對sql的查詢舉行轉(zhuǎn)換，

譬如把轉(zhuǎn)為\等，這對防止sql注射有重大作用。所以我們推舉設置為：

magic_quotes_gpc=On

10錯誤信息操縱

一般php在沒有連接到數(shù)據(jù)庫或者其他處境下會有提示錯誤，一般錯誤信息中會包含php腳本當

前的.路徑信息或者查詢的SQL語句等信息，這類信息供給給黑客后，是擔心全的，所以一般服務器建議遏止錯誤提示：

display_errors=Off

假設你卻是是要顯示錯誤信息，確定要設置顯示錯誤的級別，譬如只顯示警告以上的信息：

error_reporting=E_WARNINGE_ERROR

當然，我還是建議關(guān)閉錯誤提示。

11錯誤日志

建議在關(guān)閉display_errors后能夠把錯誤信息記錄下來，便于查找服務器運行的理由：

log_errors=On

同時也要設置錯誤日志存放的目次，建議根apache的日志存在一起：

error_log=D:/usr/local/apache2/logs/php_error.log

留神：給文件務必允許apache用戶的和組具有寫的權(quán)限。

MYSQL的降權(quán)運行

新建立一個用戶譬如mysqlstart

netusermysqlstartfuckmicrosoft/add

netlocalgroupusersmysqlstart/del

不屬于任何組

假設MYSQL裝在d:\mysql，那么，給mysqlstart完全操縱的權(quán)限

然后在系統(tǒng)服務中設置，MYSQL的服務屬性，在登錄屬性當中，選擇此用戶mysqlstart然后輸入密碼，確定。

重新啟動MYSQL服務，然后MYSQL就運行在低權(quán)限下了。

假設是在windos平臺下搭建的apache我們還需要留神一點，apache默認運行是system權(quán)限，

這很可怕，這讓人感覺很不爽.那我們就給apache降降權(quán)限吧。

netuserapachefuckmicrosoft/add

netlocalgroupusersapache/del

ok.我們建立了一個不屬于任何組的用戶apche。

我們開啟計算機管理器，選服務，點apache服務的屬性，我們選擇logon，選擇thisaccount，我們填入上面所建立的賬戶和密碼，

重啟apache服務，ok，apache運行在低權(quán)限下了。

實際上我們還可以通過設置各個文件夾的權(quán)限，來讓apache用戶只能執(zhí)行我們想讓它能干的事情，給每一個目次建立一個單獨能讀寫的用戶。

這也是當前好多虛擬主機供給商的流行配置方法哦，不過這種方法用于防止這里就顯的有點大材小用了。

php中防止SQL注入的方法

雖然國內(nèi)好多PHP程序員仍在依靠addslashes防止SQL注入，還是建議大家加強中文防止SQL注入的檢查。addslashes的問題在于黑客可以用0xbf27來代替單引號，而addslashes只是將0xbf27修改為0xbf5c27，成為一個有效的多字節(jié)字符，其中的0xbf5c仍會被看作是單引號，所以addslashes無法告成攔截。

當然addslashes也不是毫無用處，它是用于單字節(jié)字符串的處理，多字節(jié)字符還是用mysql_real_escape_string吧。

另外對于php手冊中g(shù)et_magic_quotes_gpc的舉例：

if!get_magic_quotes_gpc

$lastname=addslashes$_POST[lastname];

else

$lastname=$_POST[lastname];

最好對magic_quotes_gpc已經(jīng)開放的處境下，還是對$_POST[lastname]舉行檢查一下。

再說下mysql_real_escape_string和mysql_escape_string這2個函數(shù)的識別：

mysql_real_escape_string務必在PHP4=4.3.0,PHP5的處境下才能使用。否那么只能用mysql_escape_string，兩者的識別是：mysql_real_escape_string考慮到連接的

當前字符集，而mysql_escape_string不考慮。

總結(jié)一下：

*addslashes是強行加\;

*mysql_real_escape_string會判斷字符集，但是對PHP版本有要求;

*mysql_escape_string不考慮連接的當前字符集。

在PHP編碼的時候，假設考慮到一些對比根本的安好問題，首先一點：

1.初始化你的變量

為什么這么說呢?我們看下面的代碼：

PHP代碼

if$admin

echo登陸告成!;

includeadmin.php;

else

echo你不是管理員，無法舉行管理!;

?

好，我們看上面的代碼猶如是能正常運行，沒有問題，那么參與我提交一個非法的參數(shù)過去呢，那么效果會如何呢?譬如我們的這個頁是/login.php，那么我們提交：/login.php?admin=1，呵呵，你想一些，我們是不是直接就是管理員了，直接舉行管理。

當然，可能我們不會犯這么簡樸錯的錯誤，那么一些很隱秘的錯誤也可能導致這個問題，譬如phpwind論壇有個漏洞，導致能夠直接拿到管理員權(quán)限，就是由于有個$skin變量沒有初始化，導致了后面一系列問題。那么我們?nèi)绾沃浦股厦娴膯栴}呢?首先，從php.ini入手，把php.ini里面的register_global=off，就是不是全體的注冊變量為全局，那么就能制止了。但是，我們不是服務器管理員，只能從代碼上提升了，那么我們?nèi)绾翁嵘厦娴拇a呢?我們改寫如下：

PHP代碼

$admin=0;//初始化變量

if$_POST[admin_user]$_POST[admin_pass]

//判斷提交的管理員用戶名和密碼是不是對的相應的處理代碼

//...

$admin=1;

else

$admin=0;

if$admin

echo登陸告成!;

includeadmin.php;

else

echo你不是管理員，無法舉行管理!;

?

那么這時候你再提交/login.php?admin=1就不好使了，由于我們在一開頭就把變量初始化為$admin=0了，那么你就無法通過這個漏洞獲取管理員權(quán)限。

2.防止SQLInjectionsql注射

SQL注射理應是目前程序危害最大的了，包括最早從asp到php，根本上都是國內(nèi)這兩年流行的技術(shù)，根本原理就是通過對提交變量的不過濾形成注入點然后使惡意用戶能夠提交一些sql查詢語句，導致重要數(shù)據(jù)被竊取、數(shù)據(jù)損失或者損壞，或者被入侵到后臺管理。

那么我們既然了解了根本的注射入侵的方式，那么我們?nèi)绾稳シ婪赌?這個就理應我們從代碼去入手了。

我們知道Web上提交數(shù)據(jù)有兩種方式，一種是get、一種是post，那么好多常見的sql注射就是從get方式入手的，而且注射的語句里面確定是包含一些sql語句的，由于沒有sql語句，那么如何舉行，sql語句有四大句：select、update、delete、insert，那么我們假設在我們提交的數(shù)據(jù)中舉行過濾是不是能夠制止這些問題呢?

于是我們使用正那么就構(gòu)建如下函數(shù)：

PHP代碼

functioninject_check$sql_str

returneregiselect|insert|update|delete||

functionverify_id$id=null

if!$idexit沒有提交參數(shù)!;//是否為空判斷

elseifinject_check$idexit提交的參數(shù)非法!;//注射判斷

elseif!is_numeric$idexit提交的參數(shù)非法!;//數(shù)字判斷

$id=intval$id;//整型化

return$id;

?

呵呵，那么我們就能夠舉行校驗了，于是我們上面的程序代碼就變成了下面的：

PHP代碼

ifinject_check$_GET[id]

exit你提交的數(shù)據(jù)非法，請檢查后重新提交!;

else

$id=verify_id$_GET[id];//這里引用了我們的過濾函數(shù)，對$id舉行過濾

echo提交的數(shù)據(jù)合法，請持續(xù)!;

?

好，問題到這里貌似都解決了，但是我們有沒有考慮過post提交的數(shù)據(jù)，大批量的數(shù)據(jù)呢?

譬如一些字符可能會對數(shù)據(jù)庫造成危害，譬如_,%，這些字符都有特殊意義，那么我們假設舉行操縱呢?還有一點，就是當我們的php.ini里面的magic_quotes_gpc=off的時候，那么提交的不符合數(shù)據(jù)庫規(guī)矩的數(shù)據(jù)都是不會自動在前面加的，那么我們要操縱這些問題，于是構(gòu)建如下函數(shù)：

PHP代碼

functionstr_check$str

if!get_magic_quotes_gpc//判斷magic_quotes_gpc是否開啟

$str=addslashes$str;//舉行過濾