我已经建立了一个即将上线的网站,并且有几个关于防止 SQL 注入的问题,我知道如何使用mysqli_real_escape_string
,但我只是想知道我是否必须在我获得的所有变量上使用它SQL 语句,我是否必须在执行 select 语句时或仅在插入更新和删除时使用它?另外,在我将网站上线之前,您还建议我实施哪些其他安全措施,在此先感谢您的帮助!
问问题
58401 次
1 回答
63
任何查询都可以被注入,无论是读还是写,持久的还是瞬态的。可以通过结束一个查询并运行一个单独的查询(可能使用mysqli
)来执行注入,这使得预期的查询无关紧要。
从外部源到查询的任何输入,无论是来自用户还是来自内部,都应该被视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这会导致正确参数化的查询,您可以从中创建准备好的语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?
是参数的占位符。使用mysqli
,您可以使用 创建准备好的语句,使用prepare
将变量(参数)绑定到参数bind_param
,并使用 运行查询execute
。您根本不必清理论点(实际上这样做是有害的)。 mysqli
为你做。整个过程将是:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询和预准备语句之间也有一个重要区别。此语句在准备时未参数化,因此容易受到注入:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结一下:
- 所有查询都应正确参数化(除非它们没有参数)
- 查询的所有参数都应尽可能被视为敌对,无论其来源如何
于 2013-04-29T15:16:33.283 回答