Đây có phải là cách an toàn để cấu trúc mysql_query trong PHP

Question

Tôi đã thử và cố gắng để đạt được một tiêm SQL bằng cách thực hiện các truy vấn tùy chỉnh tới máy chủ bên ngoài firefox.

Bên trong php, tất cả các biến được chuyển vào truy vấn trong chuỗi như sau.

Lưu ý, ở giai đoạn này, $ _POST chưa được xúc động.

mysql_query('INSERT INTO users (password, username) VALUES(' . sha1($_POST['password']) . ',' . $_POST['username'] . ')); 

Đó có phải là cách an toàn để thực hiện thay đổi không?

Answer 1

Bạn chắc chắn nên thoát tên người dùng bằng mysql_real_escape_string.

Tất nhiên, giải pháp tốt nhất là sử dụng các câu lệnh đã chuẩn bị. Bằng cách đó, việc tách cú pháp truy vấn và dữ liệu được thực hiện trên cấp API mysql.

Và, như những người khác đã chỉ ra, giá trị phải được bao quanh hoàn toàn bằng dấu ngoặc kép. Đặc biệt là những văn bản.

Answer 2

Nhìn vào http://php.net/mysqli.real-escape-string, thêm vào tất cả các giá trị đang tăng lên sẽ giúp làm cho nó an toàn hơn.

Answer 3

những gì bạn đang làm có nguy hiểm vì ai đó có thể gửi yêu cầu POST có tên người dùng xấu. bạn có thể kiểm tra mọi tham số và thoát khỏi nó, ngoài ra bạn có thể sử dụng mysqli (http://php.net/manual/en/book.mysqli.php), và ràng buộc các tham số bằng cách sử dụng chuẩn bị + liên kết.

bước đầu tiên là tốt để tránh khai thác trên người dùng khác, trong khi thứ hai là tốt cho sự an toàn của phía máy chủ của bạn.

cũng kiểm tra câu hỏi này: How do you prevent SQL injection in LAMP applications?

Answer 4

này là không an toàn, trừ khi magic_quotes_gpc chỉ cấu hình được bật.
var_dump(ini_get('magic_quotes_gpc')); hoặc phpinfo(); có thể hiển thị cho bạn những giá trị thực tế

Lưu ý rằng chỉ thị này là bẩn, không dùng nữa và tất cả-ghét. Và sẽ làm cho một số mật khẩu không hoạt động.

Answer 5

On kiểm tra mã của bạn Tôi ngạc nhiên nó hoạt động ở tất cả khi bạn không trích dẫn literals bạn đang chèn - bạn sẽ được tạo mã như:

INSERT INTO user (password, username) VALUES (abc1234fg00000, admin); 

Vì vậy, nó sẽ cho một lỗi mỗi lần . Giả sử đây chỉ là lỗi đánh máy ....

Tiện ích mở rộng mysql giới hạn khả năng thực hiện các cuộc tấn công bằng cách chỉ cho phép một truy vấn cho mỗi cuộc gọi. Ngoài ra, có giới hạn phạm vi cho một cuộc tấn công tiêm vào một tuyên bố INSERT. Thêm vào đó thực tế là bạn thay đổi biểu diễn thành định dạng trung lập trước khi nối vào câu lệnh chèn có nghĩa là nó không phải là một đại lộ tiềm năng cho một cuộc tấn công như vậy. Tuy nhiên, mã của bạn nên rơi xuống nếu ai đó đăng tên người dùng có chứa một trích dẫn duy nhất (nếu không thì bạn đã bật tính năng kích hoạt magic_quotes không được dùng nữa).

OTOH nếu bạn áp dụng cùng một phương pháp để xác nhận tài khoản khi đó bạn đang rộng mở cho các cuộc tấn công tiêm - xem xét

"SELECT 1 
FROM users 
WHERE username='" . $_POST['username'] . "' 
AND password='" . sha1($_POST['username'] . "';"; 

Nếu $ _POST [ 'username'] chứa "admin' OR 1", sau đó hệ thống của bạn bị xâm phạm.

Bạn nên luôn sử dụng mysql_real_escape_string() trừ khi bạn đã thực hiện các dữ liệu an toàn bằng cách sử dụng chức năng khác nhau (ví dụ sha1, bas64_encode .... nhưng KHÔNG addslashes)

C.

Answer 6

Tôi tự hỏi đôi khi, nếu họ tìm thấy tôi ở nhà cũ, hãy hét lên "BIND VARIABLES" tại các y tá khi họ đi ngang qua.

Đó là năm 2010 mọi người, không phải năm 1995.

LOẠI SỰ KHÁC BIỆT!

CÁC LOẠI BIND!