2008年2月29日 星期五

用PHP函數解決SQL injection

轉錄自
用PHP函数解决SQL injection

SQL injection問題在ASP上可是鬧得沸沸揚揚當然還有不少國內外著名的PHP程式“遇難”。
如果你網站空間的php.ini文件的magic_quotes_gpc設成了off,
那麽PHP就不會自動在敏感字元前加上反斜符號(\),由於表單提交的內容可能含有敏感字元,
如單引號('),就導致了SQL injection的漏洞。
在這種情況下,我們可以用addslashes()來解決問題,它會自動在敏感字元前添加反斜符號。
但是,上面的方法只適用於magic_quotes_gpc=Off的情況。
作爲一個開發者,你不知道每個用戶的magic_quotes_gpc是On還是Off,
如果把全部的資料都用上addslashes(),那不是“濫殺無辜”了?
假如magic_quotes_gpc=On,並且又用了addslashes()函數,那讓我們來看看:


//如果從表單提交一個變數$_POST['message'],內容爲 Tom's book
//這此加入連接MySQL資料庫的代碼,自己寫吧
//在$_POST['message']的敏感字元前加上反斜杠
$_POST['message'] = addslashes($_POST['message']);

//由於magic_quotes_gpc=On,所以又一次在敏感字元前加反斜杠
$sql = "INSERT INTO msg_table VALUE('$_POST[message]');";

//發送請求,把內容保存到資料庫內
$query = mysql_query($sql);

//如果你再從資料庫內提取這個記錄並輸出,就會看到 Tom\'s book
?>

這樣的話,在magic_quotes_gpc=On的環境,所有輸入的單引號(')都會變成(\')……
其實我們可以用get_magic_quotes_gpc()函數輕易地解決這個問題。
當magic_quotes_gpc=On時,該函數返回TRUE;當magic_quotes_gpc=Off時,返回FALSE。
至此,肯定已經有不少人意識到:問題已經解決。請看

//如果magic_quotes_gpc=Off,那就爲提單提交的$_POST['message']的敏感字元加反斜杠
//magic_quotes_gpc=On的情況下,則不加
if (!get_magic_quotes_gpc()) {
$_POST['message'] = addslashes($_POST['message']);
} else {}
?>

其實說到這,問題已經解決。下面再說一個小技巧。
有時表單提交的變數不止一個,可能有十幾個,幾十個。
那麽一次一次地複製/粘帖addslashes(),是否麻煩了一點?
由於從表單或URL獲取的資料都是以陣列形式出現的,如$_POST、$_GET
那就自定義一個可以“橫掃千軍”的函數:

function quotes($content)
{
//如果magic_quotes_gpc=Off,那麽就開始處理
if (!get_magic_quotes_gpc()) {
//判斷$content是否爲陣列
if (is_array($content)) {
//如果$content是陣列,那麽就處理它的每一個單無
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是陣列,那麽就僅處理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On,那麽就不處理
}
//返回$content
return $content;
}
?>



2 則留言:

Zack 提到...

請問, 需唔需要對password進行同樣操作呢?

chen yuan 提到...

看你會不會把user輸入的password拿來當作db的搜尋條件,若不會,就不需要