php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法：

1. 使用mysql_real_escape_string函数
2. 使用addslashes函数
3. 使用mysql bind_param()
   

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用，因为如果不指定编码，可能会存在字符编码绕过mysql_real_escape_string函数的漏洞，比如：

$name=$_GET['name'];
$name=mysql_real_escape_string($name);
$sql="select *from table where name like '%$name%'";

当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时，sql语句输出为：

SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法：

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
 {
 $value = stripslashes($value);
 }
// 如果不是数字则加引号
/* http://www.manongjc.com/article/1242.html */
if (!is_numeric($value))
 {
 $value = "'" . mysql_real_escape_string($value) . "'";
 }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
 die('Could not connect: ' . mysql_error());
 }

// 进行安全的 SQL
mysql_set_charset('utf-8');
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>
 

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入（包括我在内），我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。当然addslashes也不是毫无用处，它可用于单字节字符串的处理。

addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

echo addcslashes('foo[ ]','a..z'); //输出：foo[ ] 
$str="is your name o'reilly?"; //定义字符串，其中包括需要转义的字符 
echo addslashes($str); //输出经过转义的字符串

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数，给大家举个例子：

<?php  
$username = "aaa";  
$pwd = "pwd";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
echo $sql;  
?>

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数：

<?php  
/**  
 * 模拟简单的绑定参数过程  
 *  
 * @param string $sql  SQL语句  
 * @param int $location 问号位置  
 * @param mixed $var   替换的变量  
 * @param string $type  替换的类型  
 */ 
$times = 0;  
//这里要注意，因为要“真正的"改变$sql的值，所以用引用传值 
function bindParam(&$sql, $location, $var, $type) {  
  global $times;  
  //确定类型  
  switch ($type) {  
    //字符串  
    default:          //默认使用字符串类型  
    case 'STRING' :  
      $var = addslashes($var); //转义  
      $var = "'".$var."'";   //加上单引号.SQL语句中字符串插入必须加单引号  
      break;  
    case 'INTEGER' :  
    case 'INT' :  
      $var = (int)$var;     //强制转换成int  
    //还可以增加更多类型..  
  }  
  //寻找问号的位置  
  for ($i=1, $pos = 0; $i<= $location; $i++) {  
    $pos = strpos($sql, '?', $pos+1);  
  }  
  //替换问号  
  $sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);  
}  
?>

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验：

<?php  
$times = 0;  
$username = "aaaa";  
$pwd = "123";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
bindParam($sql, 2, $pwd, 'INT');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
echo $sql; //输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123  
?>

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

<?php  
$times = 0;  
$username = "aaa";  
$pwd = "fdsafda' or '1'='1";  
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";  
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量  
bindParam($sql, 2, $pwd, 'STRING');    //以字符串的形式.在第二个问号的地方绑定$pwd这个变量  
echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'  
?>  

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

 总结：

上面三个方法都可以防止sql注入攻击，但第一种方法和第二种方法都存在字符编码的漏洞，所以本文章建议大家使用第三种方法。

感谢阅读，希望能帮助到大家，谢谢大家对本站的支持！

# php  # mysql_real_escape_string  # addslashes  # SQL  # 注入攻击  # 攻击  # 防止MySQL注入或HTML表单滥用的PHP程序  # PHP MYSQL注入攻击需要预防7个要点  # PHP+mysql防止SQL注入的方法小结  # Php中用PDO查询Mysql来避免SQL注入风险的方法  # PHP连接MySQL数据库的三种方式实例分析【mysql、mysqli、pdo】  # php中mysql连接方式PDO使用详解  # php中数据库连接方式pdo和mysqli对比分析  # php基于PDO实现功能强大的MYSQL封装类实例  # PHP基于pdo的数据库操作类【可支持mysql、sqlserver及oracle】  # PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例  # php使用mysqli和pdo扩展  # 测试对比mysql数据库的执行效率完整示例  # PHP使用PDO实现mysql防注入功能详解  # 绑定  # 第一个  # 单引号  # 第二个  # 种方法  # 可以看到  # 多字  # 还可以  # 就不  # 毫无用处  # 可以用  # 而不  # 要注意  # 用了  # 希望能  # 给大家  # 这样做  # 详细介绍  # 如果不是  # 什么叫 

相关文章： 公司网站设计制作厂家,怎么创建自己的一个网站？  如何配置FTP站点权限与安全设置？  如何解决VPS建站LNMP环境配置常见问题？  如何选择高效可靠的多用户建站源码资源？  建站主机选哪家性价比最高？  建站之家VIP精选网站模板与SEO优化教程整合指南  整蛊网站制作软件,手机不停的收到各种网站的验证码短信,是手机病毒还是人为恶搞?有这种手机病毒吗？  建站之星展会模版如何一键下载生成？  如何在IIS7上新建站点并设置安全权限？    如何用PHP快速搭建高效网站？分步指南  建站之星安装提示数据库无法连接如何解决？  网站制作新手教程,新手建设一个网站需要注意些什么？  c++怎么编写动态链接库dll_c++ __declspec(dllexport)导出与调用【方法】  北京网站制作费用多少,建立一个公司网站的费用.有哪些部分,分别要多少钱？  免费公司网站制作软件,如何申请免费主页空间做自己的网站？  手机网站制作与建设方案,手机网站如何建设？  公众号网站制作网页,微信公众号怎么制作？  潮流网站制作头像软件下载,适合母子的网名有哪些？  网站制作的方法有哪些,如何将自己制作的网站发布到网上？  如何用好域名打造高点击率的自主建站？  网站网页制作电话怎么打,怎样安装和使用钉钉软件免费打电话？  成都网站制作报价公司,成都工业用气开户费用？  官网自助建站平台指南：在线制作、快速建站与模板选择全解析  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  C++如何将C风格字符串（char*）转换为std::string？（代码示例）  如何在Golang中处理模块冲突_解决依赖版本不兼容问题  高端建站三要素：定制模板、企业官网与响应式设计优化  宝塔建站助手安装配置与建站模板使用全流程解析  宝塔新建站点为何无法访问？如何排查？  定制建站方案优化指南：企业官网开发与建站费用解析  建站与域名管理如何高效结合？  广平建站公司哪家专业可靠？如何选择？  如何构建满足综合性能需求的优质建站方案？  深圳网站制作平台,深圳市做网站好的公司有哪些？  寿县云建站：智能SEO优化与多行业模板快速上线指南  如何高效完成自助建站业务培训？  建站主机是什么？如何选择适合的建站主机？  seo网站制作优化,网站SEO优化步骤有哪些？  如何快速搭建自助建站会员专属系统？  专业型网站制作公司有哪些,我设计专业的，谁给推荐几个设计师兼职类的网站？  代刷网站制作软件,别人代刷火车票靠谱吗？  建站主机数据库如何配置才能提升网站性能？  建站10G流量真的够用吗？如何应对访问高峰？  网站制作外包价格怎么算,招聘网站上写的“外包”是什么意思？  大连企业网站制作公司,大连2025企业社保缴费网上缴费流程？  活动邀请函制作网站有哪些,活动邀请函文案？  定制建站流程步骤详解：一站式方案设计与开发指南  云南网站制作公司有哪些,云南最好的招聘网站是哪个？  可靠的网站设计制作软件,做网站设计需要什么样的电脑配置？