脚本之家 服务器常用软件
快捷导航
您的位置:首页数据库Mysql → MySQL的注入安全

浅析MySQL的注入安全问题

 更新时间:2015年05月27日 10:51:24   投稿:goldensun  
这篇文章主要介绍了浅析MySQL的注入安全问题,文中简单说道了如何避免SQL注入敞开问题的方法,需要的朋友可以参考下

如果把用户输入到一个网页,将其插入到MySQL数据库,有机会离开了发生安全问题被称为SQL注入敞开。这一课将教如何帮助防止这种情况的发生,并帮助保护脚本和MySQL语句。

注入通常发生在处理一个用户输入,如他们的名字,而不是一个名字,他们给一个会在不知不觉中你的数据库上运行的MySQL语句。

永远不要信任用户提供的数据,只能验证后处理这些数据,作为一项规则,这是通过模式匹配。在下面的例子中,用户名被限制为字母数字字符加下划线的长度在8到20个字符之间 - 根据需要修改这些规则。

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
  $result = mysql_query("SELECT * FROM users 
             WHERE username=$matches[0]");
}
 else 
{
  echo "username not accepted";
}

为了说明这个问题,认为这是摘要:

// supposed input
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");

函数调用应该是从用户表中的名称列的名称相匹配用户指定的检索记录。在正常情况下,名称只包含字母数字字符或空间,如字符串髂骨。但在这里,给$name通过附加一个全新的查询,调用数据库变成灾难:注入DELETE查询删除用户的所有记录。

幸运的是,如果使用MySQL,在mysql_query()函数不会允许查询堆叠,或在一个单一的函数调用执行多个查询。如果尝试到堆放查询则调用失败。

其他PHP数据库扩展,如SQLite和PostgreSQL则愉快地进行堆查询,执行在一个字符串中的所有的查询,并创建一个严重的安全问题。
防止SQL注入:

可以处理所有的转义字符巧妙的脚本语言,比如Perl和PHP。 PHP的MySQL扩展提供的函数mysql_real_escape_string()输入到MySQL的特殊字符进行转义。

if (get_magic_quotes_gpc()) 
{
 $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");

LIKE困境:

为了解决的LIKE问题,一个自定义的转义机制必须用户提供的%和_字符转换成文字。使用addcslashes()函数,让可以指定一个字符范围转义。

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");


您可能感兴趣的文章:

相关文章

  • MySQL删除外键时报错Error Code:1091. Can‘t DROP ‘XXX‘的解决方法

    MySQL删除外键时报错Error Code:1091. Can‘t DROP ‘XXX‘的解决方法

    这篇文章主要给大家介绍了关于MySQL删除外键时报错Error Code:1091. Can‘t DROP ‘XXX‘的解决方法,文中通过图文介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2022-08-08
  • mysql 5.7.11 winx64安装配置教程

    mysql 5.7.11 winx64安装配置教程

    这篇文章主要介绍了mysql 5.7.11 winx64安装配置教程,介绍了MySQL5.7安装及初始化,感兴趣的小伙伴们可以参考一下
    2016-08-08
  • MySQL 查询某个字段含有字母数字的值示例详解

    MySQL 查询某个字段含有字母数字的值示例详解

    在本文中,我们详细介绍了如何在 MySQL 中查询某个字段含有字母和数字的值,我们首先介绍了正则表达式的基础知识,然后通过五个具体示例展示了如何应用这些知识,通过这些示例,我们可以看到正则表达式在处理复杂字符串模式匹配时的强大功能,感兴趣的朋友跟随小编一起看看吧
    2024-05-05
  • Mysql使用存储过程快速添加百万数据的示例代码

    Mysql使用存储过程快速添加百万数据的示例代码

    这篇文章主要介绍了Mysql使用存储过程快速添加百万数据,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-08-08
  • 为什么MySQL查询速度会慢

    为什么MySQL查询速度会慢

    这篇文章主要介绍了为什么MySQL查询速度会慢的相关资料,需要的朋友可以参考下
    2022-12-12
  • Linux系统彻底卸载MySQL数据库详解

    Linux系统彻底卸载MySQL数据库详解

    这篇文章主要介绍了Linux系统彻底卸载MySQL数据库,首先查询系统是否安装了mysql,如果安装需要提前卸载,并删除mysql安装的组建服务,本文给大家介绍的非常详细,需要的朋友可以参考下
    2022-09-09
  • MySQL 表查询必备:基本操作详解

    MySQL 表查询必备:基本操作详解

    MySQL表基本查询指南,带你轻松掌握SQL查询技巧!无论你是初学者还是老手,都能在本文中找到适合自己的学习内容,让我们一起探索MySQL的世界吧!
    2024-01-01
  • mysql触发器简介、创建触发器及使用限制分析

    mysql触发器简介、创建触发器及使用限制分析

    这篇文章主要介绍了mysql触发器简介、创建触发器及使用限制,结合实例形式分析了mysql触发器的功能、原理、创建、用法及操作注意事项,需要的朋友可以参考下
    2019-12-12
  • Mysql主从GTID与binlog的区别及说明

    Mysql主从GTID与binlog的区别及说明

    MySQL GTID(全局事务标识符)与binlog(二进制日志)是搭建主从复制的两种机制,GTID为每个事务分配唯一标识,确保复制无数据冲突或丢失,便于复制配置和管理;binlog记录所有数据库更改,用于数据恢复和复制,GTID基于事务标识
    2024-10-10
  • 本地windows安装两个mysql服务器,配置主从同步

    本地windows安装两个mysql服务器,配置主从同步

    大型网站为了缓解大量的并发访问,除了在网站实现分布式负载均衡,还会搭建服务器mysql集群技术,来分担主数据库的压力。在本地电脑能实现这样的技术吗,本地windows安装两个mysql服务器,配置主从同步也是可以实现的,快来跟着教程测试一下吧。
    2022-12-12

最新评论