PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

最新推荐文章于 2022-01-20 13:34:00 发布
转载 最新推荐文章于 2022-01-20 13:34:00 发布 · 4.6k 阅读 · 5
文章标签:

#防止sql注入

本文揭示了使用addslashes和mysql_real_escape_string等方法在防止SQL注入方面的局限性,并通过实例展示了如何利用编码漏洞进行攻击。文章最后给出了使用PDO和MYSQLi的PreparedStatement机制这一更安全的解决方案。

作者:深蓝的镰刀

链接:https://blog.youkuaiyun.com/hornedreaper1988/article/details/43520257
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。


看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_string也有黑客可以绕过的办法,如果你的系统仍在用上面三个方法,那么我的这篇博文就有了意义,以提醒所有后来者绕过这个坑。


出于为后人栽树而不是挖坑的考虑,给出PHP以及MYSQL的版本信息,以免将来“问题”不再是“问题”了。

用str_replace以及各种php字符替换函数来防注入已经不用我说了,这种“黑名单”式的防御已经被证明是经不起时间考验的。

下面给出绕过addslasher和mysql_real_escape_string的方法(Trick)。


注意:虽然在MYSQL5.5.37-log下该Trick已经被修复了,但仍然没有确切地解决注入问题,介于很多公司的系统仍在使用Mysql5.0,我建议立马做出改进,这点也是我《也说说几种让程序员快速提高能力的方法 》中提到的一个十分重要的点。


注意:如果你不确定你的系统是否有SQL注入的风险,请将下面的下面的DEMO部署到你的服务器,如果运行结果相同,那么请参考最后的完美的解决方案。


MYSQL:

[sql]  view plain  copy
  1. mysql> select version();  
  2. +---------------------+  
  3. | version()           |  
  4. +---------------------+  
  5. | 5.0.45-community-ny |  
  6. +---------------------+  
  7. 1 row in set (0.00 sec)  
  8. mysql> create database test default charset GBK;  
  9. Query OK, 1 row affected (0.00 sec)  
  10. mysql> use test;  
  11. Database changed  
  12. mysql> CREATE TABLE users (  
  13.     username VARCHAR(32) CHARACTER SET GBK,  
  14.     password VARCHAR(32) CHARACTER SET GBK,  
  15.     PRIMARY KEY (username)  
  16. );  
  17. Query OK, 0 rows affected (0.02 sec)  
  18. mysql> insert into users SET username='ewrfg'password='wer44';  
  19. Query OK, 1 row affected (0.01 sec)  
  20. mysql> insert into users SET username='ewrfg2'password='wer443';  
  21. Query OK, 1 row affected (0.01 sec)  
  22. mysql> insert into users SET username='ewrfg4'password='wer4434';  
  23. Query OK, 1 row affected (0.01 sec)=  

PHP:

[php]  view plain  copy
  1. <?php  
  2. echo "PHP version: ".PHP_VERSION."\n";  
  3.   
  4. mysql_connect('servername','username','password');  
  5. mysql_select_db("test");  
  6. mysql_query("SET NAMES GBK");  
  7.   
  8. $_POST['username'] = chr(0xbf).chr(0x27).' OR username = username /*';  
  9. $_POST['password'] = 'guess';  
  10.   
  11. $username = addslashes($_POST['username']);  
  12. $password = addslashes($_POST['password']);  
  13. $sql = "SELECT * FROM  users WHERE  username = '$username' AND password = '$password'";  
  14. $result = mysql_query($sqlor trigger_error(mysql_error().$sql);  
  15.   
  16. var_dump(mysql_num_rows($result));  
  17. var_dump(mysql_client_encoding());  
  18.   
  19. $username = mysql_real_escape_string($_POST['username']);  
  20. $password = mysql_real_escape_string($_POST['password']);  
  21. $sql = "SELECT * FROM  users WHERE  username = '$username' AND password = '$password'";  
  22. $result = mysql_query($sqlor trigger_error(mysql_error().$sql);  
  23.   
  24. var_dump(mysql_num_rows($result));  
  25. var_dump(mysql_client_encoding());  
  26.   
  27. mysql_set_charset("GBK");  
  28. $username = mysql_real_escape_string($_POST['username']);  
  29. $password = mysql_real_escape_string($_POST['password']);  
  30. $sql = "SELECT * FROM  users WHERE  username = '$username' AND password = '$password'";  
  31. $result = mysql_query($sqlor trigger_error(mysql_error().$sql);  
  32.   
  33. var_dump(mysql_num_rows($result));  
  34. var_dump(mysql_client_encoding());  

结果:

[plain]  view plain  copy
  1. PHP version: 5.2.5  
  2. int(3)  
  3. string(6) "latin1"  
  4. int(3)  
  5. string(6) "latin1"  
  6. int(0)  
  7. string(3) "gbk"   
可以看出来不论是使用addslashes还是mysql_real_escape_string,我都可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击!!!!(攻击的原理我就不多说了,感兴趣的同学可以研究下字符编码中单字节和多字节的问题)

注意:第三个mysql_real_escape_string之所以能够防注入是因为mysql_escape_string本身并没办法判断当前的编码,必须同时指定服务端的编码和客户端的编码,加上就能防编码问题的注入了。虽然是可以一定程度上防止SQL注入,但还是建议以下的完美解决方案。


完美解决方案就是使用拥有Prepared Statement机制的PDO和MYSQLi来代替mysql_query(注:mysql_query自 PHP 5.5.0 起已废弃,并在将来会被移除):

PDO:

[php]  view plain  copy
  1. $pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8''user''pass');  
  2.   
  3. $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);  
  4. $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);  
  5. $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');  
  6. $stmt->execute(array('name' => $name));  
  7.   
  8. foreach ($stmt as $row) {  
  9.     // do something with $row  
  10. }  

MYSQLi:

[php]  view plain  copy
  1. $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');  
  2. $stmt->bind_param('s'$name);  
  3.   
  4. $stmt->execute();  
  5.   
  6. $result = $stmt->get_result();  
  7. while ($row = $result->fetch_assoc()) {  
  8.     // do something with $row  
  9. }  

Lazy丶
关注
PHP防止SQL注入的方法:addslashesmysqli_real_escape_string的区别
MdlForward的博客
09-28 280
为了避免恶意用户通过注入恶意SQL代码来破坏数据库或获取敏感信息,开发人员需要对用户输入的数据进行适当的过滤转义。在PHP中,有两个常用的函数用于转义字符串,分别是。函数是PHP中最简单的字符串转义函数之一,它的作用是在特殊字符前添加反斜杠。它是根据当前数据库连接的字符集来执行转义操作,而不仅仅是简单地在特殊字符前添加反斜杠。函数是MySQL扩展提供的函数,它用于在字符串中转义特殊字符,以便安全地在SQL语句中使用。本文将解释这两个函数的区别,并提供相应的源代码示例。函数转义了字符串中的特殊字符。
php addslashesmysql_real_escape_string
12-17
总结来说,`addslashes()` 适用于简单的单字节字符串处理,而`mysql_real_escape_string()` 是处理多字节字符确保与数据库连接兼容的首选。为了增强安全性,推荐使用`mysql_real_escape_string()`,并始终检查`get...
phpaddslashes函数与sql注入
10-25
主要介绍了phpaddslashes函数与sql注入,实例讲述了采用addslashes函数对于sql注入的用处,对于PHP安全程序设计来说具有不错的参考借鉴价值,需要的朋友可以参考下
PHP函数 mysql_real_escape_stringaddslashes 的区别
weixin_34138521的博客
11-28 182
addslashesmysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢? 首先,我们还是从PHP手册入手: 手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。 mysql_real_escape_string转义的字符并没有被提到,只是说了一句...
php mysql_escape_string 替代方法,关于mysqlmysql_real_escape_string的安全替代品吗? (PHP)...
weixin_31653645的博客
03-19 841
我正在将变量传递给执行查询的函数MySQL连接仅在函数内部发生,并在函数内部关闭我希望能够在将字符串发送给函数之前安全地转义字符串我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的一些非转义的部分例如,我需要运行以下函数:myquery("'" . es...
addslashes mysql_real_escape_string
梦想摆渡的专栏
12-03 1708
1.addslashes 说明 ¶ string addslashes ( string $str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O'reilly 插入
php函数—addslashesmysql_real_escape_string
不一样的焰火
07-02 1063
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。 很好的说明了addslashesmysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括
PHP函数addslashesmysql_real_escape_string的区别
10-26
随着时间的推进,addslashes()被弃用,而mysql_real_escape_string()虽然更为强大,但使用预处理语句才是SQL注入的最佳做法。开发者在设计数据库交互的应用时,需要充分考虑这些安全措施,确保系统的健壮性...
php mysql_real_escape_string addslashesmysql绑定参数SQL注入攻击
10-20
php mysql_real_escape_stringaddslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数是PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
php mysql_escape_string 替代方法,PHP_PHP函数addslashesmysql_real_escape_string的区别,首先:不要使用mysql_escape_str...
weixin_36027600的博客
03-19 647
PHP函数addslashesmysql_real_escape_string的区别首先:不要使用mysql_escape_string,它已被弃用,请使用mysql_real_escape_string代替它。mysql_real_escape_stringaddslashes的区别在于:区别一:addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个...
mysql_real_escape_string 报错_addslashesmysql_real_escape_string的区别
weixin_32297123的博客
01-19 180
addslashesmysql_real_escape_string.都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢??我们今天来简单的看下..首先.我们还是从PHP手册入手..手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到.只是说了一...
sql-lab (36~40)包括堆叠注入Mysql_real_escape_string addslashes区别(后持续更新)
m0_62879498的博客
01-20 768
(36~40)包括堆叠注入Mysql_real_escape_string addslashes区别 sql-lab-36 前面的关卡一样,本题对 ’ 进行了注入,我们可以利用以前学过的办法,使用 %df 进行一个绕过。 判断注入点:?id=1 %df’ and 1=2 – q 判断字段数:id=1 %df’ order by 4-- q 判断显错位:?id=-1 %df’ union select 1,2,3-- q 判断库名:?id=-1 %df’ union select 1,datab
PHPSQL注入不要再用addslashesmysql_real_escape_string
weixin_34191845的博客
11-10 299
PHPSQL注入不要再用addslashesmysql_real_escape_string了,有需要的朋友可以参考下。 博主热衷各种互联网技术,常啰嗦,时常伴有强迫症,常更新,觉得文章对你有帮助的可以关注我。 转载请注明"深蓝的镰刀" 看了很多PHP网站在SQL注入上还在使用addslashesstr_replace,百度一下"PHP注入...
addslashes()与mysql_real_escape_string()在sql注入中的应用
weixin_43803070的博客
05-07 1124
0x01: addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数我们可以利用%df 进行绕过。(即所谓的宽字节注入) 使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能...
不执行数据库查询 mysql_real_escape_string_安全替代mysql_real_escape_string吗? (PHP)
weixin_32211137的博客
01-30 242
我正在将变量传递给执行查询的函数MySQL连接仅在函数内部发生,并在函数内部关闭我希望能够在将字符串发送给函数之前安全地转义字符串我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的一些非转义的部分例如,我需要运行以下函数:myquery("'" . es...
PHP防止SQL注入
战国墨竹的博客
06-12 959
我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数: 复制代码代码如下: function injCheck($sql_str) { $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str); ...
addslashes:会导致SQL注入漏洞
热门推荐
悟空悟空,越悟越空
09-15 2万+
参考这位大虾:http://shiflett.org/archive/184  addslash包括php.ini中默认设置的magic_quotes_gpc = On,也会存在这种可能:原因:addslashes对有些特殊字符后跟上(单引号)并不会加把这个变成/如: 0xbf27 的字就不会,所以    縗 OR 1 limit 1/*  这个就存在[code]heade
mysql addslashes c_通过addslashes()进行SQL注入的示例?
weixin_42131798的博客
02-01 520
慕容708150Chris Shiflett用下面的例子清楚地解释了,如果你在数据库中使用GBK编码时尝试它,那当然会有效。即使我尝试过它,也证明了,即使它们非常少,也有机会进行sql注入,但是具有良好知识能力的人可以轻松注入。这是一个例子.........
mysql addslashes c,通过addslashes()进行SQL注入的示例?
weixin_31317351的博客
03-23 268
Chris Shiflett用下面的例子清楚地解释了,如果你在数据库中使用GBK编码时尝试它,那当然会有效。即使我尝试过它,也证明了,即使它们非常少,也有机会进行sql注入,但是具有良好知识能力的人可以轻松注入。这是一个例子.........
下列选项中,属于SQL注入的内置过滤函数的是( ) A mysql_escape_string() B str_replace() C intval() D addslashes()
最新发布
03-31
<think>好的,用户正在寻找SQL注入护相关的内置过滤函数,特别是提到了mysql_escape_string、str_replace、intval、addslashes这几个函数。我需要根据提供的引用内容,整理出这些函数的使用方法注意事项。 首先,我需要回顾每个引用中的相关信息。引用1提到mysql_real_escape_string必须在PHP4>=4.3.0PHP5中使用,否则用mysql_escape_string,但两者有区别,前者考虑连接字符集。引用2指出,即使使用PDO的模拟预处理,如果PHP版本低且未指定charset,仍然可能有注入漏洞,建议升级PHP并设置charset。引用4展示了一个post_check函数,里面用到了addslashes、str_replace等函数,并处理了magic_quotes_gpc的情况。引用5给出了使用mysql_real_escape_string的示例。引用3提到了MySQL的报错函数,可能注入攻击有关,但用户的问题是关于护函数,所以这部分可能暂时不用。 接下来,我需要将每个函数的信息整理出来。mysql_real_escape_string需要考虑连接字符集,比mysql_escape_string更安全,但已弃用。addslashes用于转义特殊字符,但依赖于magic_quotes_gpc的设置,引用4中的函数处理了这个情况。str_replace用于过滤特定字符,如%_。intval用于确保数值类型,防止注入。同时,PDO的参数绑定预处理语句是更推荐的方法,如引用2提到的设置EMULATE_PREPARES为false,并指定charset。 需要注意的是,用户可能想知道这些函数的适用场景、限制以及最佳实践。比如,虽然某些函数可以过滤,但单独使用可能不够,需要组合其他方法。例如,引用4中的函数不仅用了addslashes,还处理了magic_quotes_gpc,替换了%_,并进行HTML转义。这可能超出SQL注入的范围,但用户可能关心整体输入过滤。 另外,用户提到的函数中有mysql_escape_string,但根据引用1,这个函数已经过时,推荐使用mysql_real_escape_string,而后者在PHP7中也被移除,所以最终应该建议使用PDO或MySQLi的参数化查询。 可能还需要提到,过滤函数虽然有用,但参数化查询才是更根本的解决方案,因为过滤容易遗漏,而参数化能从根本上分离数据指令。引用2中提到的PDO设置就是一个例子。 总结:需要分点列出每个函数的作用、注意事项,并强调参数化查询的重要性。同时,引用相关的内容来支持每个点,比如引用15关于mysql_real_escape_string,引用4关于addslashesstr_replace,引用2关于PDO的设置。</think>### SQL注入护常用内置过滤函数及注意事项 #### 1. **`mysql_real_escape_string`** 用于转义字符串中的特殊字符(如单引号、双引号、反斜杠等),需基于当前数据库连接的字符集处理[^1]。 - **适用场景**:拼接SQL语句时对字符串参数进行转义。 - **注意事项**: - 仅在PHP 4.3.0+PHP 5+版本可用,且需确保已建立数据库连接。 - PHP 7中已弃用,建议改用参数化查询(如PDO或MySQLi)。 示例: ```php $username = mysql_real_escape_string($_POST['username']); $sql = "SELECT * FROM users WHERE username='$username'"; ``` --- #### 2. **`addslashes`** 自动转义单引号、双引号、反斜杠NULL字符,但依赖`magic_quotes_gpc`配置[^4]。 - **适用场景**:兼容旧代码时,需手动判断`magic_quotes_gpc`状态[^4]。 - **注意事项**: - 若`magic_quotes_gpc=On`,重复转义会导致数据错误。 - 无法御多字节编码注入(如GBK宽字节漏洞)。 示例(结合`magic_quotes_gpc`判断): ```php if (!get_magic_quotes_gpc()) { $input = addslashes($input); } ``` --- #### 3. **`str_replace`** 用于过滤特定危险字符(如`%`、`_`),常用于模糊查询场景。 - **适用场景**:防止LIKE子句中的通配符滥用。 - **注意事项**: - 需手动定义需过滤的字符列表。 - 不能替代参数化查询或转义函数。 示例: ```php $input = str_replace(array("%", "_"), array("\%", "\_"), $input); ``` --- #### 4. **`intval`** 将变量强制转换为整数类型,用于处理数值型参数[^5]。 - **适用场景**:确保ID、年龄等参数为整数。 - **注意事项**: - 仅适用于纯数字输入,对字符串无效。 示例: ```php $id = intval($_GET['id']); $sql = "SELECT * FROM articles WHERE id=$id"; ``` --- #### 5. **`PDO参数化查询`**(推荐) 通过预处理语句分离数据与SQL指令,从根本上注入[^2]。 - **注意事项**: - 需设置`PDO::ATTR_EMULATE_PREPARES=false`并指定DSN字符集,避免模拟预处理漏洞。 示例: ```php $pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'user', 'pass'); $stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email"); $stmt->execute(['email' => $email]); ``` --- ### 综合建议 1. **优先使用参数化查询**(PDO或MySQLi),避免手动拼接SQL[^2]。 2. 若必须拼接SQL,组合使用过滤函数(如`intval`+`mysql_real_escape_string`)并严格校验输入格式。 3. 升级到PHP 5.3.6+,并在DSN中指定字符集(如`charset=utf8`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值