1. 程式人生 > >轉:PHP中防止SQL注入的方法

轉:PHP中防止SQL注入的方法

【一、在伺服器端配置】

       安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。

我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行 php能夠更安全。整個PHP中的安全設定主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具開啟 /etc/local/apache2/conf/php.ini,如果你是採用其他方式安裝,配置檔案可能不在該目錄。

(1) 開啟php的安全模式

php的安全模式是個非常重要的內嵌的安全機制,能夠控制一些php中的函式,比如system(),

同時把很多檔案操作函式進行了許可權控制,也不允許對某些關鍵檔案的檔案,比如/etc/passwd,

但是預設的php.ini是沒有開啟安全模式的,我們把它開啟:

safe_mode = on

(2) 使用者組安全

當safe_mode開啟時,safe_mode_gid被關閉,那麼php指令碼能夠對檔案進行訪問,而且相同

組的使用者也能夠對檔案進行訪問。

建議設定為:

safe_mode_gid = off

如果不進行設定,可能我們無法對我們伺服器網站目錄下的檔案進行操作了,比如我們需要

對檔案進行操作的時候。

(3) 安全模式下執行程式主目錄

如果安全模式打開了,但是卻是要執行某些程式的時候,可以指定要執行程式的主目錄:

safe_mode_exec_dir = D:/usr/bin

一般情況下是不需要執行什麼程式的,所以推薦不要執行系統程式目錄,可以指向一個目錄,

然後把需要執行的程式拷貝過去,比如:

safe_mode_exec_dir = D:/tmp/cmd

但是,我更推薦不要執行任何程式,那麼就可以指向我們網頁目錄:

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含檔案

如果要在安全模式下包含某些公共檔案,那麼就修改一下選項:

safe_mode_include_dir = D:/usr/www/include/

其實一般php指令碼中包含檔案都是在程式自己已經寫好了,這個可以根據具體需要設定。

(5) 控制php指令碼能訪問的目錄

使用open_basedir選項能夠控制PHP指令碼只能訪問指定的目錄,這樣能夠避免PHP指令碼訪問

不應該訪問的檔案,一定程度上限制了phpshell的危害,我們一般可以設定為只能訪問網站目錄:

open_basedir = D:/usr/www

(6) 關閉危險函式

如果打開了安全模式,那麼函式禁止是可以不需要的,但是我們為了安全還是考慮進去。比如,

我們覺得不希望執行包括system()等在那的能夠執行命令的php函式,或者能夠檢視php資訊的

phpinfo()等函式,那麼我們就可以禁止它們:

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何檔案和目錄的操作,那麼可以關閉很多檔案操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的檔案處理函式,你也可以把上面執行命令函式和這個函式結合,

就能夠抵制大部分的phpshell了。

(7) 關閉PHP版本資訊在http頭中的洩漏

我們為了防止黑客獲取伺服器中php版本的資訊,可以關閉該資訊斜路在http頭中:

expose_php = Off

比如黑客在 telnet www.12345.com 80 的時候,那麼將無法看到PHP的資訊。

(8) 關閉註冊全域性變數

在PHP中提交的變數,包括使用POST或者GET提交的變數,都將自動註冊為全域性變數,能夠直接訪問,

這是對伺服器非常不安全的,所以我們不能讓它註冊為全域性變數,就把註冊全域性變數選項關閉:

register_globals = Off

當然,如果這樣設定了,那麼獲取對應變數的時候就要採用合理方式,比如獲取GET提交的變數var,

那麼就要用$_GET['var']來進行獲取,這個php程式設計師要注意。

(9) 開啟magic_quotes_gpc來防止SQL注入

SQL注入是非常危險的問題,小則網站後臺被入侵,重則整個伺服器淪陷,

所以一定要小心。php.ini中有一個設定:

magic_quotes_gpc = Off

這個預設是關閉的,如果它開啟後將自動把使用者提交對sql的查詢進行轉換,

比如把 ' 轉為 \'等,這對防止sql注射有重大作用。所以我們推薦設定為:

magic_quotes_gpc = On

(10) 錯誤資訊控制

一般php在沒有連線到資料庫或者其他情況下會有提示錯誤,一般錯誤資訊中會包含php腳本當

前的路徑資訊或者查詢的SQL語句等資訊,這類資訊提供給黑客後,是不安全的,所以一般伺服器建議禁止錯誤提示:

display_errors = Off

如果你卻是是要顯示錯誤資訊,一定要設定顯示錯誤的級別,比如只顯示警告以上的資訊:

error_reporting = E_WARNING & E_ERROR

當然,我還是建議關閉錯誤提示。

(11) 錯誤日誌

建議在關閉display_errors後能夠把錯誤資訊記錄下來,便於查詢伺服器執行的原因:

log_errors = On

同時也要設定錯誤日誌存放的目錄,建議根apache的日誌存在一起:

error_log = D:/usr/local/apache2/logs/php_error.log

注意:給檔案必須允許apache使用者的和組具有寫的許可權。

MYSQL的降權執行

新建立一個使用者比如mysqlstart

net user mysqlstart fuckmicrosoft /add

net localgroup users mysqlstart /del

不屬於任何組

如果MYSQL裝在d:\mysql ,那麼,給 mysqlstart 完全控制 的許可權

然後在系統服務中設定,MYSQL的服務屬性,在登入屬性當中,選擇此使用者 mysqlstart 然後輸入密碼,確定。

重新啟動 MYSQL服務,然後MYSQL就執行在低許可權下了。

如果是在windos平臺下搭建的apache我們還需要注意一點,apache預設執行是system許可權,

這很恐怖,這讓人感覺很不爽.那我們就給apache降降許可權吧。

net user apache fuckmicrosoft /add

net localgroup users apache /del

ok.我們建立了一個不屬於任何組的使用者apche。

我們開啟計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,

重啟apache服務,ok,apache執行在低許可權下了。

實際上我們還可以通過設定各個資料夾的許可權,來讓apache使用者只能執行我們想讓它能幹的事情,給每一個目錄建立一個單獨能讀寫的使用者。

這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用於防止這裡就顯的有點大材小用了。 


【二、在PHP程式碼編寫】

       雖然國內很多PHP程式設計師仍在依靠addslashes防止SQL注入,還是建議大家加強中文防止SQL注入的檢查。addslashes的問題在於黑客可以用0xbf27來代替單引號,而addslashes只是將0xbf27修改為0xbf5c27,成為一個有效的多位元組字元,其中的0xbf5c仍會被看作是單引號,所以addslashes無法成功攔截。
       當然addslashes也不是毫無用處,它是用於單位元組字串的處理,多位元組字元還是用mysql_real_escape_string吧。
       另外對於php手冊中get_magic_quotes_gpc的舉例:
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}

最好對magic_quotes_gpc已經開放的情況下,還是對$_POST[’lastname’]進行檢查一下。
再說下mysql_real_escape_string和mysql_escape_string這2個函式的區別:
mysql_real_escape_string 必須在(PHP 4 >= 4.3.0, PHP 5)的情況下才能使用。否則只能用 mysql_escape_string ,兩者的區別是:mysql_real_escape_string 考慮到連線的
當前字符集,而mysql_escape_string 不考慮。
總結一下:
* addslashes() 是強行加\;
* mysql_real_escape_string()  會判斷字符集,但是對PHP版本有要求;
* mysql_escape_string不考慮連線的當前字符集。
-------------------------------------------------------------------------------------------------
在PHP編碼的時候,如果考慮到一些比較基本的安全問題,首先一點:
1. 初始化你的變數
為什麼這麼說呢?我們看下面的程式碼:
PHP程式碼   
   

1 2 3 4 5 6 7 8 9 10 11 <?php          if  ( $admin )          {          echo  '登陸成功!' ;          include ( 'admin.php' );          }          else          {          echo  '你不是管理員,無法進行管理!' ;          }          ?>

 


     好,我們看上面的程式碼好像是能正常執行,沒有問題,那麼加入我提交一個非法的引數過去呢,那麼效果會如何呢?比如我們的這個頁是http://daybook.diandian.com/login.php,那麼我們提交:http://daybook.diandian.com/login.php?admin=1,呵呵,你想一些,我們是不是直接就是管理員了,直接進行管理。
     當然,可能我們不會犯這麼簡單錯的錯誤,那麼一些很隱祕的錯誤也可能導致這個問題,比如phpwind論壇有個漏洞,導致能夠直接拿到管理員許可權,就是因為有個$skin變數沒有初始化,導致了後面一系列問題。那麼我們如何避免上面的問題呢?首先,從php.ini入手,把php.ini裡面的register_global =off,就是不是所有的註冊變數為全域性,那麼就能避免了。但是,我們不是伺服器管理員,只能從程式碼上改進了,那麼我們如何改進上面的程式碼呢?我們改寫如下:
PHP程式碼      
  

1 2 3 4 5 6 7

相關推薦

PHP防止SQL注入方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要

php防止SQL注入的最好方法是什麼?

如果使用者輸入的是直接插入到一個SQL語句中的查詢,應用程式會很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VAL

PHP防止SQL注入方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行 php能夠更安全。整個P

如何在PHP防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

PHP實現防止SQL注入的2種方法

PHP簡單實現防止SQL注入的方法,結合例項形式分析了PHP防止SQL注入的常用操作技巧與注意事項,PHP原始碼備有詳盡註釋便於理解,需要的朋友可以參考下!   方法一:execute代入引數 $var_Value) { //獲取POST陣列最大值 $num = $nu

Python防止sql注入方法詳解

SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。下面這篇文章主要給大家介紹了關於Python中防止sql注入的方法,需要的朋友可以參考下。   前言 大家

PHP最全防止sql注入方法

(1)mysql_real_escape_string -- 轉義 SQL 語句中使用的字串中的特殊字元,並考慮到連線的當前字符集使用方法如下:$sql = "select count(*

PHP防止SQL註入

string 直接 mysqli select 自定義 pan conn php sele 防止SQL註入,我們需要註意以下幾個要點: 1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和 雙"-"進行轉換等。 2.永遠不要使用動態

SQL注入 web開發防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

jdbc防止sql注入方法總結

參考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.傳統JDBC,採用PreparedStatement 。預編譯語句集,內建了處理SQL注入的能力 String sql= "selec

PHP PDO 防止SQL注入

使用PDO的好處: 1> 防止SQL注入 2> 提高執行效率 每條SQL執行前,MYSQL資料庫都需要先進行編譯(即便是一個空格也可能引起重新編譯)。在迴圈執行多條資料時,使用prepare方式傳入不同引數可以減少編譯時間 大部分常見資料庫都支援prepare語

JDBC使用PreparedStatement防止SQL注入

   1.關於SQL注入 什麼是SQL注入: 由於jdbc程式在執行的過程中sql語句在拼裝時使用了由頁面傳入引數,如果使用者惡意傳入一些sql中的特殊關鍵字,會導致sql語句意義發生變化,這種攻擊方式就叫做sql注入,參考使用者註冊登入案例。   首先看一下以下程式碼:

mysql防止sql注入

實現sql注入常見型別: 利用邏輯運算子;利用mysql註釋特性,mysql支援 /* 和 # 兩種註釋格式  %23=='#';(相當於程式後面的SQL語句給註釋了)防止sql注入的幾種方法:

Mybatis like 查詢 防止SQL注入方法相關原理和解決方法整理

SQL注入:引自百度百科: 所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意)的

PHP使用PDO簡單實現防止SQL注入方法

方法一:execute代入引數  <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num

淺析php過濾html字串,防止SQL注入方法

本篇文章是對php中過濾html字串,防止SQL注入的方法進行了詳細的分析介紹,需要的朋友參考下   批量過濾post,get敏感資料 複製程式碼 程式碼如下: $_GET = stripslashes_array($_GET); $_POST = st

PHP安全程式設計防止SQL注入

SQL 注入是PHP應用中最常見的漏洞之一。事實上令人驚奇的是,開發者要同時犯兩個錯誤才會引發一個SQL注入漏洞,一個是沒有對輸入的資料進行過濾(過濾輸入),還有一個是沒有對傳送到資料庫的資料進行轉義(轉義輸出)。這兩個重要的步驟缺一不可,需要同時加以特別關注以減少程式錯誤

PHP該怎樣防止SQL注入

問題描述 如果使用者輸入的資料在未經處理的情況下插入到一個SQL查詢語句中,那麼應用將很有可能遭受到SQL注入的攻擊,正如下面的例子: $unsafe_valiable = $_POST['user_input']; mysql_query("INSERT

nodejs查詢mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace inst

Mybatis框架#{}與${}的差別(如何防止sql注入

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。 #相當於對資料 加上 雙引號,$相當於直接顯示資料 示例1: 執行SQL:select * f