通過啟用php.ini配置文件中的相關選項,就可以將大部分想利用SQL注入漏洞的駭客拒絕于門外。 開啟magic_quote_gpc=on之后,能實現addslshes()和stripslashes()這兩個函數的功能。在PHP4.0及以上的版本中,該選項默認情況下是開啟的,所以在PHP4.0及以上的版本中,就算PHP程序中的參數沒有進行過濾,PHP系統也會對每一個通過GET、POST、COOKIE方式傳遞的變量自動轉換,換句話說,輸入的注入攻擊代碼將會全部被轉換,將給攻擊者帶來非常大的困難。 雖然如此,攻擊者仍然有機會進行SQL注入攻擊。。。。。。前提是,當參數為數字型的時候,且未經過Intval()函數的處理,因為經過intval()的處理之后,所有的數據就都會強制轉換成數字。 前面已經提到過,開啟magic_quote_gpc=on之后,相當于使用addslshes()這個函數。但是數字型沒有用到單引號,所以理所當然的繞過了addslshes()函數的轉換了。而使用MySQL自帶的char()函數或者HEX(),char()可以將參數解釋為整數并且返回這些整數的ASCII碼字符組成的字符串,使用十六進制表示必須在數字前加上0x。 實例演示: 假設我們知道管理員的用戶名為admin,密碼不知道。并且已經將magic_quote_gpc啟用。 SQL語句:$sql="select * from users where username=$name and password='$pwd'";注意:變量$name沒加引號 此時,在地址欄中輸入username=admin%23,則合成后的sql語句為: select * from users where username='admin/' #' and password=''; 這時候通過url地址欄輸入的單引號(')將被加上反斜線,該sql語句將失效。 admin轉換成ASCII后是char(97,100,109,105,110) 此時在地址欄中輸入username=char(97,100,109,105,110)%23 SQL語句就變成了: select * from users where username=char(97,100,109,105,110)#' and password=''; 執行結果為真,就可以順利進入后臺。 對于數字型注入攻擊,必須在任何的數字型參數放入數據庫之前使用intval()對參數進行強制轉換成數字,從而可以斷絕數字型注入漏洞的產生。 比如:$id=intval($_GET[‘id']); select * from articles where id='$id'; 地址欄中輸入:id=5' or 1=1%23 SQL語句將變成:select * from articles where id='5'; 而不是select * from articles where id='5' or 1=1#; 總結: 對于每一個變量都記得加上單引號,比如where username='$name', 開啟magic_quote_gpc并不是絕對安全的,對于數字型注入攻擊,僅僅使用addslashes()函數進行轉換是不夠的,還需使用intval()強制將參數轉換成數字 如何防止SQL注入攻擊 方法一:密碼比對 思路:首先通過用戶輸入的用戶名去查詢數據庫,得到該用戶名在數據庫中對應的密碼,再將從數據庫中查詢到的密碼和用戶提交過來的密碼進行比對。 代碼:
