使用php函数防止SQL注入方法

什么是SQL注入?

SQL注入是指在你系统防御之外，某人将一段Mysql语句注入到你的数据库。注入通常发生在系统要求用户输入数据的时候，比如用户名的输入，用户可能输入的不是一个用户名，而是一段SQL语句，这个语句可能就会不知不觉地运行在你的数据库中。

SQL注入实例

$name = $_POST['username'];

$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";

如同你看到的，用户输入的值会通过url参数分配给变量$name，然后直接放置到sql语句中。这意味着用户是有可能编辑sql语句的。

$name = "admin' OR 1=1 -- ";

$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";

sql数据库最后会接收到下面的这一段sql语句:

SELECT * FROM `tbl_name` WHERE `name`='admin' OR 1=1 --';

在Mysql中- -表示忽略掉后面所有的内容，就是注释掉后面所有内容。这是有效的SQL语句,而且执行结果不是返回当前用户数据,而是将返回所有数据表(table_name)中的所有数据。这是任何人都不希望在他们的web应用程序中出现。下面将会教你如何防止这种类型的漏洞。

那么，如何简单防止Mysql注入?

这个问题已经被知道了一段时间，PHP有一个特制的功能以防止这些攻击。所有你需要做的就是使用一个函数mysql_real_escape_string()。

mysql_real_escape_string所做的是把一个输入的字符串,在MySQL查询时将它处理为用户输入的真实字符串，来防止SQL注入。有点绕，基本上,就是将用户输入可能引起Mysql安全隐患的字符串比如单引号('),用逃脱引用来表示\ '。

将这个函数应用到上面那个可能被注入的例子中：

$name = mysql_real_escape_string($_POST['username']);

$query = "SELECT * FROM `tbl_name` WHERE `name` = '$name' ";

这里要十分小心的是，mysql_real_escape_string要先成功地通过mysql_connect连接到mysql server上以后才能正常使用,如果数据库
还没连接直接使用这个函数会报错。上面经过函数转化后，$query最后打印出来的语句为：

SELECT * FROM `tbl_name` WHERE `name`='admin\' OR 1=1 -- ';

也就是说上面那个admin后面的单引号(')被转义为真实的输入字符，不再和admin前的字符进行匹配，admin前的单引号将和字符串–后面的单引号进行匹配。

让我们创建一个通用的函数，你可以用任何名字来命名它，在这里，我要将它命名为"mres"：

function mres($var){

    if (get_magic_quotes_gpc()){

        $var = stripslashes(trim($var));

    }

    return mysql_real_escape_string(trim($var));

}

现在，可以把函数简化成下面这个样子：

$name = mres($_POST['username']);

$query="SELECT * FROM `tbl_name` WHERE `name`='$name' ";

 

转自：http://coderschool.cn/1207.html