日期:2014-05-16 浏览次数:20413 次
SQL injection问题在ASP上可是闹得沸沸扬扬 当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off, 那么PHP就不会在敏感字符前加上反斜杠(\),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。但是,上面的方法只适用于 magic_quotes_gpc=Off的情况。作为一个开发者,你不知道每个用户的magic_quotes_gpc是On还是Off,如果把全部的 数据都用上addslashes(),那不是“滥杀无辜”了?假如magic_quotes_gpc=On,并且又用了addslashes()函数,那 让我们来看看: _POST[message],内容为 Tom's book //这此加入连接MySQL数据库的代码,自己写吧 //在$_POST[message]的敏感字符前加上反斜杠 $_POST[message] = addslashes($_POST[message]); //由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠 $sql = "INSERT INTO msg_table VALUE($_POST[message]);"; //发送请求,把内容保存到数据库内 $query = mysql_query($sql); //如果你再从数据库内提取这个记录并输出,就会看到 Tom\'s book ?> 这样的话,在magic_quotes_gpc=On的环境里,所有输入的单引号()都会变成(\)…… 其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时,该函数返回 TRUE;当magic_quotes_gpc=Off时,返回FALSE。至此,肯定已经有不少人意识到:问题已经解决。请看代 码:_quotes_gpc=Off,那就为提单提交的$_POST[message]里的敏感字符加反斜杠 //magic_quotes_gpc=On的情况下,则不加 if (!get_magic_quotes_gpc()) { $_POST[message] = addslashes($_POST[message]); } else {} ?> 其实说到这里,问题已经解决。下面再说一个小技巧。有时表单提交的变量不止一个,可能有十几个,几十个。那么一次一次地复制/粘帖 addslashes(),是否麻烦了一点?由于从表单或URL获取的数据都是以数组形式出现的,如$_POST、$_GET) 那就自定义一个可以“横扫千军”的函数: _quotes_gpc=Off,那么就开始处理if (!get_magic_quotes_gpc()) { //判断$content是否为数组 if (is_array($content)) { //如果$content是数组,那么就处理它的每一个单无 foreach ($content as $key=>$value) { $content[$key] = addslashes($value); } } else { //如果$content不是数组,那么就仅处理一次 addslashes($content); } } else { //如果magic_quotes_gpc=On,那么就不处理 } //返回$content return $content; } ?> 需要注意的是,magic_quotes_gpc=On ,只会处理$_GET,$_POST ,$_COOKIE,也即客户提的数据。 除去这种格式的函数是stripslashes();
还有一种处理方法 这个函数将一些特殊字符转换一下. 比如说 '&' (ampersand) becomes '&' '"' (double quote) becomes '"' when ENT_NOQUOTES is not set. ''' (single quote) becomes ''' only when ENT_QUOTES is set. ' <' (less than) becomes '<' '>' (greater than) becomes '>' 在插入前转换很大的一部分原因是执行sql时产生错误,比如说 " '之类的. 读数据的时候不需要转换是因为 不论&还是&浏览器都能识别. 如果不用HTMLSpecialChars,,就会导致读取时,要把" <script>"之类的HTML标签“原本”的输出,而这一输出就有漏洞了,万一那个插入数据库的人是黑客,插入的不是一般的字符串,而是 “ <script> <b> <body>”等等之类的东西,读取后,就是一个HTML文档之类的东西,这样,他可以利用这个漏洞欺骗其他人,或者借这个漏洞攻击别人等等,搞个框架跳转到某一网站等等操作