引發 SQL 注入攻擊的主要原因，是因為以下兩點原因：

1. php 配置文件 php.ini 中的 magic_quotes_gpc選項沒有打開，被置為 off

2. 開發者沒有對數據類型進行檢查和轉義

不過事實上，第二點最為重要。我認為, 對用戶輸入的數據類型進行檢查，向 MYSQL 提交正確的數據類型，這應該是一個 web 程序員最最基本的素質。但現實中，常常有許多小白式的 Web 開發者忘了這點, 從而導致后門大開。

為什么說第二點最為重要？因為如果沒有第二點的保證，magic_quotes_gpc 選項，不論為 on，還是為 off，都有可能引發 SQL 注入攻擊。下面來看一下技術實現：

一. magic_quotes_gpc = Off 時的注入攻擊

magic_quotes_gpc = Off是 php 中一種非常不安全的選項。新版本的 php 已經將默認的值改為了 On。但仍有相當多的服務器的選項為 off。畢竟，再古董的服務器也是有人用的。

當magic_quotes_gpc = On　時，它會將提交的變量中所有的 '(單引號)、"(雙號號)、\(反斜線)、空白字符，都為在前面自動加上 \。下面是 php 的官方說明：

magic_quotes_gpcboolean

Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When? magic_quotes are on, all ' (single-quote), " (double quote), \? (backslash) and NUL's are escaped with a backslash automatically

如果沒有轉義，即 off 情況下，就會讓攻擊者有機可乘。以下列測試腳本為例：

if( isset($_POST["f_login"] ) )

{

// 連接數據庫...

// ...代碼略...

// 檢查用戶是否存在

$t_strUname=$_POST["f_uname"];

$t_strPwd=$_POST["f_pwd"];

$t_strSQL="SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";

if($t_hRes= mysql_query($t_strSQL) )

{

// 成功查詢之后的處理. 略...

}

}

?>

sample test

Username:

Password:

在這個腳本中，當用戶輸入正常的用戶名和密碼，假設值分別為 zhang3、abc123，則提交的 SQL 語句如下：

SELECT * FROM tbl_users?WHERE username='zhang3' AND password = 'abc123' LIMIT 0,1

如果攻擊者在 username 字段中輸入：zhang3' OR 1=1 #，在 password 輸入 abc123，則提交的 SQL 語句變成如下：

SELECT * FROM tbl_users?WHERE username='zhang3' OR 1=1 #' AND password = 'abc123' LIMIT 0,1

由于 # 是 mysql中的注釋符, #之后的語句不被執行，實現上這行語句就成了：

SELECT * FROM tbl_users?WHERE username='zhang3' OR 1=1

這樣攻擊者就可以繞過認證了。如果攻擊者知道數據庫結構，那么它構建一個 UNION SELECT，那就更危險了：

假設在 username 中輸入：zhang3 ' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #

在password 輸入: abc123，

則提交的 SQL 語句變成：

SELECT * FROM tbl_users?WHERE username='zhang3 '?OR 1 =1 UNION select cola, colb,cold FROM tbl_b #' ?AND password = 'abc123' LIMIT 0,1

這樣就相當危險了。如果agic_quotes_gpc選項為 on，引號被轉義，則上面攻擊者構建的攻擊語句就會變成這樣，從而無法達到其目的：

SELECT * FROM tbl_users WHERE username='zhang3\' OR 1=1 #' AND password = 'abc123' LIMIT 0,1

SELECT * FROM tbl_users WHERE username='zhang3 \' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #'

AND password = 'abc123' LIMIT 0,1

二. magic_quotes_gpc = On 時的注入攻擊

當 magic_quotes_gpc = On 時，攻擊者無法對字符型的字段進行 SQL 注入。這并不代表這就安全了。這時，可以通過數值型的字段進行SQL注入。

在最新版的 MYSQL 5.x 中，已經嚴格了數據類型的輸入，已默認關閉自動類型轉換。數值型的字段，不能是引號標記的字符型。也就是說，假設 uid 是數值型的，在以前的 mysql 版本中，這樣的語句是合法的：

INSERT INTO tbl_user SET uid="1";

SELECT * FROM tbl_user WHERE uid="1";

在最新的 MYSQL 5.x 中，上面的語句不是合法的，必須寫成這樣：

INSERT INTO tbl_user SET uid=1;

SELECT * FROM tbl_user WHERE uid=1;

這樣我認為是正確的。因為作為開發者，向數據庫提交正確的符合規則的數據類型，這是最基本的要求。

那么攻擊者在 magic_quotes_gpc = On 時，他們怎么攻擊呢？很簡單，就是對數值型的字段進行 SQL 注入。以下列的 php 腳本為例：

if( isset($_POST["f_login"] ) )

{

// 連接數據庫...

// ...代碼略...

// 檢查用戶是否存在

$t_strUid=$_POST["f_uid"];

$t_strPwd=$_POST["f_pwd"];

$t_strSQL="SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";

if($t_hRes= mysql_query($t_strSQL) )

{

// 成功查詢之后的處理. 略...

}

}

?>

sample test

User ID:

Password:

上面這段腳本要求用戶輸入 userid 和 password 登入。一個正常的語句，用戶輸入 1001和abc123，提交的 sql 語句如下：

SELECT * FROM tbl_users WHERE userid=1001 AND password = 'abc123' LIMIT 0,1　　如果攻擊者在 userid 處，輸入：1001 OR 1 =1 #，則注入的sql語句如下：

SELECT * FROM tbl_users WHERE userid=1001 OR 1 =1 # AND password = 'abc123' LIMIT 0,1　　攻擊者達到了目的。

三. 如何防止?PHP?SQL 注入攻擊

如何防止 php sql 注入攻擊？我認為最重要的一點，就是要對數據類型進行檢查和轉義?？偨Y的幾點規則如下：

php.ini 中的 display_errors 選項，應該設為　display_errors = off。這樣 php 腳本出錯之后，不會在 web 頁面輸出錯誤，以免讓攻擊者分析出有作的信息。

調用 mysql_query 等 mysql 函數時，前面應該加上 @，即 @mysql_query(...)，這樣 mysql 錯誤不會被輸出。同理以免讓攻擊者分析出有用的信息。另外，有些程序員在做開發時，當 mysql_query出錯時，習慣輸出錯誤以及 sql 語句，例如： $t_strSQL = "SELECT a from b...."; if ( mysql_query($t_strSQL) ) {?? // 正確的處理 } else {?? echo "錯誤! SQL 語句：$t_strSQL \r\n錯誤信息".mysql_query();?? exit; }

這種做法是相當危險和愚蠢的。如果一定要這么做，最好在網站的配置文件中，設一個全局變量或定義一個宏，設一下 debug 標志：

全局配置文件中： define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE //調用腳本中： $t_strSQL = "SELECT a from b...."; if ( mysql_query($t_strSQL) ) {?? // 正確的處理 } else? {?? if (DEBUG_MODE)???? echo "錯誤! SQL 語句：$t_strSQL \r\n錯誤信息".mysql_query();?? exit; }

對提交的 sql 語句，進行轉義和類型檢查。

四. 我寫的一個安全參數獲取函數

為了防止用戶的錯誤數據和 php + mysql 注入 ，我寫了一個函數 PAPI_GetSafeParam()，用來獲取安全的參數值：

define("XH_PARAM_INT",0);

define("XH_PARAM_TXT",1);

functionPAPI_GetSafeParam($pi_strName,$pi_Def="",$pi_iType= XH_PARAM_TXT)

{

if( isset($_GET[$pi_strName]) )

$t_Val= trim($_GET[$pi_strName]);

elseif( isset($_POST[$pi_strName]))

$t_Val= trim($_POST[$pi_strName]);

else

return$pi_Def;

// INT

if( XH_PARAM_INT == $pi_iType)

{

if(is_numeric($t_Val))

return$t_Val;

else

return$pi_Def;

}

// String

$t_Val=str_replace("&","&",$t_Val);

$t_Val=str_replace("

$t_Val=str_replace(">",">",$t_Val);

if( get_magic_quotes_gpc() )

{

$t_Val=str_replace("\\\"",""",$t_Val);

$t_Val=str_replace("\\''","'",$t_Val);

}

else

{

$t_Val=str_replace("\"",""",$t_Val);

$t_Val=str_replace("'","'",$t_Val);

}

return$t_Val;

}

在這個函數中，有三個參數：

$pi_strName: 變量名

$pi_Def: 默認值

$pi_iType: 數據類型。

取值為 XH_PARAM_INT, XH_PARAM_TXT, 分別表示數值型和文本型。

如果請求是數值型，那么調用 is_numeric() 判斷是否為數值。如果不是，則返回程序指定的默認值。

簡單起見，對于文本串，我將用戶輸入的所有危險字符(包括HTML代碼)，全部轉義。由于 php 函數? addslashes()存在漏洞，我用 str_replace()直接替換。get_magic_quotes_gpc() 函數是 php? 的函數，用來判斷 magic_quotes_gpc 選項是否打開。

剛才第二節的示例，代碼可以這樣調用：

if( isset($_POST["f_login"] ) )

{

// 連接數據庫...

// ...代碼略...

// 檢查用戶是否存在

$t_strUid= PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT);

$t_strPwd= PAPI_GetSafeParam("f_pwd","", XH_PARAM_TXT);

$t_strSQL="SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";

if($t_hRes= mysql_query($t_strSQL) )

{

// 成功查詢之后的處理. 略...

}

}

?>

這樣的話，就已經相當安全了。

總結

以上是生活随笔為你收集整理的php mysql防卡_php mysql防止sql注入详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。