大多数 PHP 程序员对 MySQL 肯定不陌生,至于各种 MySQL 函数的用法在开发手册和 w3school 这类网站上也有很多介绍。但是,你所用的写法真的安全吗?面对越来越猖獗的黑客攻击,SQL 注入防范非常重要,所以使用 MySQL 也要有更正确的姿势。

关于 SQL 注入

SQL Injection:就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。

具体来说,它是利用现有应用程序,将(恶意)的 SQL 命令注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入(恶意)SQL 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。

在网上可以搜到一些简单例子,通过一步步有目的地调整 url 请求参数,让 server 返回其 MySQL 数据结构及内容,以达到获取敏感数据的目的。

防注入的方法

开发者要使用合适的数据库操作函数,这一点也是开发手册和教程上很少提到的。

举个例子,要实现一个简单的查询功能,一般会这样写:

<?php

$con = mysql_connect("localhost","mysql_user","mysql_pwd");

if (!$con)

{

  die('Could not connect: ' . mysql_error());

}

$username = $_POST['user'];

$password = $_POST['pwd'];

$sql = "SELECT * FROM Person WHERE username=$username AND password=$password";

mysql_query($sql,$con);

// 一些代码

mysql_close($con);

?>

这种用法相当不安全,如果被人盯上,会很容易地进行 sql 注入

所以有不少人推荐使用 mysql_real_escape_string,写法如下:

<?php

$con = mysql_connect("localhost","mysql_user","mysql_pwd");

if (!$con)

{

  die('Could not connect: ' . mysql_error());

}

$username = $_POST['user'];

$password = $_POST['pwd'];

// 如果不是数字则加引号

$username = "'" . mysql_real_escape_string($username) . "'";

$password = "'" . mysql_real_escape_string($password) . "'";

$sql = "SELECT * FROM Person WHERE username=$username AND password=$password";

mysql_query($sql,$con);

// 一些代码

mysql_close($con);

?>

这种方法安全性比第一种更高,但对方还是可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击。另外像一些 str_replace,addslashes 或者使用 magic_quotes_gpc 选项之类的方法,不是已经失效就是仍然有可能被破解。

然而百度一下「PHP 防注入」,仍然有很多文章在介绍上述办法。所以我们这里要郑重提示大家这个风险,提醒所有后来者绕过这个坑。

那么,如今还能幸免于注入的方法就是 Prepared Statement 机制了。这里推荐大家使用 mysqli 方式,mysql 扩展已经在 php5.5 中被废弃,在 php7 中更是直接不支持。为向高版本兼容考虑,新代码尽量使用 mysqli

最终的查询代码就变成了这样:

<?php

$mysqli=new mysqli("localhost","mysql_user","mysql_pwd"); 

if (mysqli_connect_errno())

{

  printf("Connect failed: %s\n", mysqli_connect_error());

  exit();

}

$username = $_POST['user'];

$password = $_POST['pwd'];

if ($stmt = $mysqli->prepare("SELECT * FROM Person WHERE username=? AND password=?"))

{

  $stmt->bind_param("ss",$username,$password); 

  $stmt->execute();

}

// 一些代码

$mysqli->close();

?>

把所有操作 MySQL 的代码都重构成上面这样,那么面对 SQL 注入就可以高枕无忧了。另外 pdo 也有 Prepared Statement 机制,同样能够保护数据库,有兴趣的同学可以自己尝试一下。

OneAPM for PHP 能够深入到所有 PHP 应用内部完成应用性能管理 能够深入到所有 PHP 应用内部完成应用性能管理和监控,包括代码级别性能问题的可见性、性能瓶颈的快速识别与追溯、真实用户体验监控、服务器监控和端到端的应用性能管理。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

PHP 如何安全的使用 MySQL ?的更多相关文章

  1. Hadoop 中利用 mapreduce 读写 mysql 数据

    Hadoop 中利用 mapreduce 读写 mysql 数据   有时候我们在项目中会遇到输入结果集很大,但是输出结果很小,比如一些 pv.uv 数据,然后为了实时查询的需求,或者一些 OLAP ...

  2. mysql每秒最多能插入多少条数据 ? 死磕性能压测

    前段时间搞优化,最后瓶颈发现都在数据库单点上. 问DBA,给我的写入答案是在1W(机械硬盘)左右. 联想起前几天infoQ上一篇文章说他们最好的硬件写入速度在2W后也无法提高(SSD硬盘) 但这东西感 ...

  3. LINUX篇,设置MYSQL远程访问实用版

    每次设置root和远程访问都容易出现问题, 总结了个通用方法, 关键在于实用 step1: # mysql -u root mysql mysql> Grant all privileges o ...

  4. nodejs进阶(6)—连接MySQL数据库

    1. 建库连库 连接MySQL数据库需要安装支持 npm install mysql 我们需要提前安装按mysql sever端 建一个数据库mydb1 mysql> CREATE DATABA ...

  5. MySQL高级知识- MySQL的架构介绍

    [TOC] 1.MySQL 简介 概述 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB公司开发,目前属于Oracle公司. MySQL是一种关联数据库管理系统,将数据保存在不同的表中,而 ...

  6. 闰秒导致MySQL服务器的CPU sys过高

    今天,有个哥们碰到一个问题,他有一个从库,只要是启动MySQL,CPU使用率就非常高,其中sys占比也比较高,具体可见下图. 注意:他的生产环境是物理机,单个CPU,4个Core. 于是,他抓取了CP ...

  7. 我的MYSQL学习心得(一) 简单语法

    我的MYSQL学习心得(一) 简单语法 我的MYSQL学习心得(二) 数据类型宽度 我的MYSQL学习心得(三) 查看字段长度 我的MYSQL学习心得(四) 数据类型 我的MYSQL学习心得(五) 运 ...

  8. Entity Framework Core 实现MySQL 的TimeStamp/RowVersion 并发控制

    将通用的序列号生成器库 从SQL Server迁移到Mysql 遇到的一个问题,就是TimeStamp/RowVersion并发控制类型在非Microsoft SQL Server数据库中的实现.SQ ...

  9. Docker笔记一:基于Docker容器构建并运行 nginx + php + mysql ( mariadb ) 服务环境

    首先为什么要自己编写Dockerfile来构建 nginx.php.mariadb这三个镜像呢?一是希望更深入了解Dockerfile的使用,也就能初步了解docker镜像是如何被构建的:二是希望将来 ...

  10. 当忘记mysql数据库密码时如何进行修改

    因为长时间没有使用数据库了,或者把密码改完之后就忘了数据库密码,不能正常进入数据库,也无法修改密码,有一个简单的常用修改密码方式: 1.首先找到和打开mysql.exe和mysqld.exe所在的文件 ...

随机推荐

  1. The content of element type "beans" must match "(description?,(import|alias|bean)*)

    The content of element type "beans" must match "(description?,(import|alias|bean)*) - ...

  2. android打包签名介绍

    Keytool 是一个有效的安全钥匙和证书的管理工具. Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存 ...

  3. linux下安装apache2.2.27

    1.首先下载httpd-2.2.27.tar.gz用linux命令下载 wget http://mirrors.cnnic.cn/apache//httpd/httpd-2.2.27.tar.gz 2 ...

  4. char nvarchar varchar

    1. char      固定长度,最长n个字符.   2. varchar      最大长度为n的可变字符串. (n为某一整数,不同数据库,最大长度n不同)   char和varchar区别:   ...

  5. Servie学习总结

    一.什么是Service Service是一个应用程序组件,它是安卓实现程序后台运行的一个解决方案. 二.分类 服务有两种类别started.bound.但是一个服务类所要继承的类是一样的,都是Ser ...

  6. jmeter压测SSL加密网站

    1.生成秘钥文件 得到网站证书,用jdk自带的keytool生成秘钥文件,执行dos命令: keytool     -import -alias "aaa" -file " ...

  7. Android MVP模式的初识

      MVP是什么?或许在之前更多的人知道的是MVC这个模式(Model View Controller),然而MVP与MVC最不同的一点是M与V是不直接 关联的也是就Model与View不存在直接关系 ...

  8. Object-C 类实现

    这篇为Object-C添加方法的后续. 这里我们应该在类的实现(.m)文件中写 #import "Photo.h" @implementation Photo - (NSStrin ...

  9. iOS军火库-好用的ActionSheetView

    GitHub地址 一个自定义的ActionSheetView,支持显示标题,默认选中,使用block回调. 使用说明 [GLActionSheet showWithDataSource:@[@&quo ...

  10. Swift开源了,有什么好处?

    昨天swift开源了,喜大泪奔的好消息! swift的官方网站https://swift.org swift在github的开源地址https://github.com/apple/swift 今天早 ...