之前在笔试的时候没有很好的答出这个问题,因此我要总结一下问题,以免日后继续在这个地方跌倒,以下是自己的理解,如有错误请指出
一.什么是SQL注入
SQL注入就是服务器在根据业务去处理数据库的时候,客户端传来的参数里面含有一些非法的SQL语句或者特殊符号,导致原来该执行的SQL语句变成了另一个SQL语句。
最经典的案例就是用户登录页面,前端有一个登陆的表单,可以填写账号,密码,用户在填写密码点击登录之后就会把信息传给服务器。
然后服务器会执行类似于下面的语句
$userName = $_POST['userName']; $password= $_POST['password']; $res = mysql_query("SELECT * FROM user where name='{$userName}' && password='{$password}'; "); if(mysql_fetch_assoc($res)){ eho "登录成功"; }else{ echo "账号不存在或者密码错误"; }
试想一下,如果有不法分子在账号一栏输入 'or 1=1;-- 那里SQL语句从原来程序员期盼的
SELECT * FROM `user` WHERE username='username' && `password`='password';
变成了
SELECT * FROM `user` WHERE username=''or 1=1;--' && `password`='123';
这样就列出了全部的用户的信息,而且顺利登陆了客户端在不输入任何的账号和密码信息。其实这个还算好的了,如果输入的是 ';drop table user;-- 这样就直接把你的用户表给删了。
二.如何防范SQL注入
其实明白了原理就解决起来就会很简单,最有效的方法就是让传来的数据参数化,何为参数化?就是把传来的数据真真正正的作为参数,而不会成为SQL语句的一部分,比如说刚刚传来的数据里面用户名为'or 1=1;-- SQL语句就真的要去查询是否有一个用户名字名为 'or 1=1;-- 而不会变成另一个SQL语句,要实现的话只需要把SQL语句预先编译,然后再把参数传过去SQL语句,这样就算数据非法也无济于事,因为真的不会把数据真的作为语句来执行。
那么该如何实现参数化查询呢?
在MySql参数化查询,首先是预定义一个SQL语句,然后我们再定义参数,最后调用预定义的带上参数的SQL即可
预定义SQL语句在MySql是用prepare来预定义,其中我们用?代表在预定的SQL语句里面的参数。
prepare pre_name from "SQL语句";
执行就是如下:
excute pre_name [using 参数1,参数2];
下面是一个正确查询账号密码的MySql例子:
SET @name="userName"; --定义参数 SET @password="password"; --定义参数 PREPARE test FROM "SELECT * FROM user WHERE username=? && password=?"; --用prepare预定义SQL语句,?代表参数 EXECUTE test USING @name,@password; --执行SQL语句,并把对应参数传过去
这时候测试一下如果传来的参数是'or 1=1;-- 执行结果也只是查询用户名为'or 1=1;--的用户
三.其他防范SQL注入的办法
至于其他办法嘛,也有很多,下面是从网上资料查阅之后总结起来还算靠谱的一些。当然我个人感觉还是查询参数化最有效。
1.对传来的数据中的特殊字符进行转义,如十六进制字符,斜杠,双引号,单引号,注释等等。
2.尽量对不要用最高权限的SQL账户去操作数据库,而是分配不同的权限给不同的用户,在需要操作数据的场合分配对应权限的用户。
3.使用存储过程,其实和查询参数化一个道理,由于存储过程的SQL语句已经预编译过了,因此不用担心数据作为SQL语句的一部分。
4.减少SQL执行反馈信息,或者说把反馈信息改成自己的一套提示码,尽量不让对方知道自己的数据库信息。