php操作mysql防止sql注入(合集)

本文將從sql注入風險說起，並且比較addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的預處理的區別。

當一個變數從表單傳入到php，需要查詢mysql的話，需要進行處理。
舉例：
$unsafe_variable = $_POST['user_input']; 
mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 
使用者可以輸入諸如 ： value'); DROP TABLE table;-- ,SQL語句就變成這樣了:
INSERT INTO table (column) VALUES('value'); DROP TABLE table;--') 
執行的結果就是table表被刪掉了。

這是一種常見的sql注入方法，那麼在程式中，應該怎樣預防呢?

1.魔術引用 (推薦指數3)
addslashes()與stripslashes()是功能相反的函式。
addslashes()用於對變數中的' " 和NULL新增斜槓，用於避免傳入sql語句的引數格式錯誤，同時如果有人注入子查詢，通過加可以將引數解釋為內容，而非執行語句，避免被mysql執行。

不過，addslashes()新增的只在php中使用，並不會寫入mysql中。
那麼，tripslashes()的作用是將加了的php變數去掉，由於不會寫入mysql中，所以從mysql查詢出來的內容不需要再tripslashes()。

在防注入方面，addslashes()可以防止掉大多數的注入，但是此函式並不會檢查變數的編碼，當使用例如中文gbk的時候，由於長度比較長 ，會將某些gbk編碼解釋成兩個ascii編碼，造成新的注入風險(俗稱寬位元組注入)。見下面2。

如果從網頁表單、php、mysql都使用utf8編碼，則沒有這個問題。
基於此函式的風險，並不建議使用，推薦使用下面3中的方法。
https://segmentfault.com/q/10...

2. mysql_real_escape_string() (推薦指數4)
由於addslashes()不檢測字符集，所以有寬位元組注入風險，所以php中新增了這個函式。
這個函式本來是mysql的擴充套件，但是由於存在寬位元組的問題，php基於mysql的擴充套件開發了此函式。

gbk寬字元漏洞導致的sql注入
https://www.91ri.org/8611.html
http://www.cnblogs.com/suihui...

mysql_real_escape_chars()是mysql_escape_chars()的替代用法。
與addslashes()相比，不僅會將' " NOL(ascii的0)轉義，還會把r n進行轉義。同時會檢測資料編碼。
按php官方的描述，此函式可以安全的用於mysql。

此函式在使用時會使用於資料庫連線(因為要檢測字符集)，並根據不同的字符集做不同的操作。如果當前連線不存在，剛會使用上一次的連線。

mysql_real_escape_string()防注入詳解
此方法在php5.5後不被建議使用，在php7中廢除。
參考：https://segmentfault.com/q/10...

3.預處理查詢 (Prepared Statements) (推薦指數5)
使用prepared statements（預處理語句）和引數化的查詢，可以有效的防止sql注入。

為什麼預處理和引數化查詢可以防止sql注入呢?
在傳統的寫法中，sql查詢語句在程式中拼接，防注入(加斜槓)是在php中處理的，然後就發語句傳送到mysql中，mysql其實沒有太好的辦法對傳進來的語句判斷哪些是正常的，哪些是惡意的，所以直接查詢的方法都有被注入的風險。
在mysql5.1後，提供了類似於jdbc的預處理-引數化查詢。它的查詢方法是：

1. 先預傳送一個sql模板過去
2. 再向mysql傳送需要查詢的引數
   就好像填空題一樣，不管引數怎麼注入，mysql都能知道這是變數，不會做語義解析，起到防注入的效果，這是在mysql中完成的。

參考：
PHP中如何防止SQL隱碼攻擊 
http://blog.csdn.net/sky_zhe/...

引數化查詢為什麼能夠防止SQL隱碼攻擊
http://www.cnblogs.com/LoveJe...

上面提供的資料比較多，下面根據自己的理解整理出來。

預處理分為兩種:
A.使用mysqli:prepare()實現
看一個完整的用法：
$mysqli = new mysqli("example.com", "user", "password", "database");
$stmt = $mysqli->prepare("SELECT id, label FROM test WHERE id = ?");
$stmt->bind_param(1, $city);
$stmt->execute();
$res = $stmt->get_result();
$row = $res->fetch_assoc();

a.寫sql語句，然後用?佔位符替代sql中的變數
b.替換變數
c.執行
d.得到一個二進位制結果集，從二進位制結果中取出php結果集
e.遍歷結果集

使用預處理，一條查詢分兩步，所以很安全。也是php5.5及php7推薦方法。
參考：
http://www.cnblogs.com/liuzha...

B. 使用pdo實現
pdo是一個php官方推薦的資料庫抽象層，提供了很多實用的工具。

使用pdo的預處理-引數化查詢可以有效防止sql注入。
使用方法跟上面差不多，區別在於pdo提供了更多樣的方法。
使用這個pdo->$stmt物件進行查詢後，會被結果集覆蓋，型別是一個二維陣列。

我們在上面預處理-引數化查詢是在mysql中進行防注入操作的，其實pdo也內建了一個預處理的模擬器，叫做ATTR_EMULATE_PREPARES。
預設情況下，PDO會使用DSN中指定的字符集對輸入引數進行本地轉義（PHP手冊中稱為native prepared statements），然後拼接成完整的SQL語句，傳送給MySQL Server。這有些像我們平時程式中拼接變數到SQL再執行查詢的形式。

這種情況下，PDO驅動能否正確轉義輸入引數，是攔截SQL隱碼攻擊的關鍵。然而PHP 5.3.6及老版本，並不支援在DSN中定義charset屬性（會忽略之），這時如果使用PDO的本地轉義，仍然可能導致SQL隱碼攻擊，

如果ATTR_EMULATE_PREPARES=true(預設情況)，預處理-引數化查詢在pdo的模擬器中完成，模擬器根據字符集(dsn引數)進行處理，然後把語句傳送給mysql。

如果ATTR_EMULATE_PREPARES=false，sql會分兩次把引數給送給mysql，mysql根據自身的字符集(set names <charset>)進行處理，完成查詢。

但由於各版本差異，pdo在各版本中的實現程度也不一樣，有些版本還有bug，我們以php5.3.6做為分界線來進行說明：

php5.3.6以下版本
$pdo = new PDO("mysql:host=localhost;dbname=test;",'root','pwd');
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
$pdo->exec('set names utf8');
$id = '0 or 1 =1 order by id desc';
$sql = "select * from article where id = ?";
$statement = $pdo->prepare($sql);
$statement->bindParam(1, $id);
$statement->execute();
如上，我們關閉了本地預處理模擬器，引數會直接分批傳送給mysql，由mysql根據set name utf8字符集進行檢測，完成sql注入處理。以上程式碼不會產生注入。

php5.3.6以上版本
$pdo = new PDO("mysql:host=localhost;dbname=test;charset=utf8",'root','pwd');
$pdo->exec('set names utf8');
$id = '0 or 1 =1 order by id desc';
$sql = "select * from article where id = ?";
$statement = $pdo->prepare($sql);
$statement->bindParam(1, $id);
$statement->execute();
在php5.3.6以上版本中，預設情況下ATTR_EMULATE_PREPARES開啟，模擬器會根據new PDO()中的charset=utf8進行檢測，在模擬器上完成防注入操作。如果把模擬器關閉，也會像低版本一樣送交mysql進行防注入處理。

參考：
PDO防注入原理分析以及使用PDO的注意事項
http://zhangxugg-163-com.itey...

PHP 5.3.6及以前版本的PDO的bindParam,bindValue潛在的安全隱患
http://zhangxugg-163-com.itey...

再論php 5.3.6以前版本中的PDO SQL隱碼攻擊漏洞問題
http://my.oschina.net/zxu/blo...

segmentfault討論
https://segmentfault.com/q/10...

1. html輸出與防止xss注入
   特殊字元輸出

比如' " < >有著特殊的意義，如果直接寫到html中輸出，會引起dom格式的錯亂，那麼就需要用到特殊的輸出方法。

htmlspecialchars()
用於將一些特殊符號轉義成只有瀏覽器識別的轉義符。

舉個例子：
$a = " ' ";
<input type="test" value='<?=$a;?>'>
<textarea><?=$a;?></textarea>

上面由於$a的值就是一個' ，當它輸出在value=''之間時，會破壞html原有的dom格式，導致html解析錯誤。
下面那個'輸出在標籤對之間時沒有問題。
上面那個問題怎麼解決呢? 可以這樣：
<input type="test" value='<?php echo htmlspecialchars($a);?>'>
php會向瀏覽器輸出：
<input type="test" value='&qouts;'>
這個符號只有流量器認識，原始碼中看到是這樣，但是瀏覽器輸出的就是一個'號。

xss注入
xss也就是常說的跨域攻擊，這是一種在客戶端瀏覽器上面執行的攻擊。
比如在表單或者url引數中，人為寫入javascript程式碼，看起來是普通的文字，但是被瀏覽器解析後變成可執行的javascript動作，用來做廣告或者攻擊等等。

舉例：
有人在發貼的時候寫入了javascript程式碼，一開啟就彈視窗。
<script type="text/javascript">alert("你是我的小蘋果!");</scirpt>

對於這種惡意的東西，為了力求安全，我們即可以在發貼前對可用的html程式碼進行過濾，也可以用htmlspecialchars()進行轉義。
轉義後alert()內容變成:
alert("你是我的小蘋果!");
雖然看到的文字不變，但是由於轉義了，這個alert()只會以文字顯示，而不會執行彈窗。

http://netsecurity.51cto.com/...

總結：
1.建議將升級到php 5.3.9+ php 5.4+，php 5.3.8存在致命的hash碰撞漏洞。
2.不要使用基礎的php拼接sql語句直接查詢，避免使用addslashes()和mysql_real_escape_string()防止注入。
3.推薦使用mysqli或pdo的預處理-引數化查詢。
4.pdo預設會使用自帶的ATTR_EMULATE_PREPARES模擬器處理sql語句，php5.3.6以下版本使用預處理-引數化時，設定dsn引數(setcahrs=utf8)沒用的(可能是bug)，所以防注入還是有缺陷。應將模擬器關閉，pdo會把sql交由mysql進行防注入。
5.php5.3.6以上版本，應設定dsn引數(setchars=utf8)，預設就可以在模擬器防注入。也可以手工關掉模擬器，效果跟上面第4步一樣。

來源：http://www.yunxi365.cn/index....