在哪里使用 mysql_real_escape_string 来防止 SQL 注入？

Question

我遇到了一群黑客的麻烦。他们多次攻击了我客户的网站，我的客户变得更加愤怒:(我的客户丢失了他的数据库（有数百条记录），并且必须输入所有内容:(

现在我正在关注更多介绍；

• 固定文件权限
• 更改了 ftp 和主机登录信息
• 清除了所有远程 mysql 访问，

现在正在处理 SQL 注入问题。我将 mysql_real_escape_string 添加到管理面板登录参数中。那么我还应该在哪里使用这个 mysql_real_escape_string 呢？我认为我不需要在那里添加。 ..

我有一个index.php作为主页。我应该对此页面做些什么来防止通过像index.php?somesql=这样的url进行sql注入攻击吗

？ !!! :(

---

例如：

我有这样的代码；

public function showDetails($id) {

    // SQL Jobs Details
    $this->sql_job = "SELECT * FROM jobs WHERE id=".mysql_real_escape_string($id);
    $this->rst_job = mysql_query($this->sql_job);           
    $this->row_all = mysql_fetch_assoc($this->rst_job);     

    // SQL State
    $this->sql_state = "SELECT title FROM state WHERE id=" . $this->row_all[$this->tbl_jobs['f4']];
    $this->rst_state = mysql_query($this->sql_state);   
    $this->row_state = mysql_fetch_assoc($this->rst_state);
........

对 $id 使用 mysql_real_escape_string 是否足够。不适用于 $this->row_all[$this->tbl_jobs['f4']]

Answer 1

基本上，每次您在 SQL 中使用一些不安全数据（用户输入、数据库中的值、文件或外部网站，即您不能100%确定其安全的任何数据）时查询，您应该使用 mysql_real_escape_string 转义它。请注意，根据 OWASP，此函数对于转义动态表来说并不安全名称（但这远不如“基本”用户输入插入常见）。

我建议你看一下关于 SQL 注入的 OWASP 文章，并且浏览网站的其余部分。它是有关 Web 应用程序安全性的重要信息来源。

IMO，防止 SQL 注入的首选方法是使用 准备好的声明。

请记住，如果您选择使用mysql_real_escape_string()，它仅在以下情况下有效：
在由引号分隔的字符串内使用。切勿将其用于
任何未加引号的值。这包括数值；相反，验证用户输入实际上是数字。

Answer 2

与用户输入相关的两个最重要的事情是

1. 输入过滤
2. 输出转义

输入过滤是转换数据/[之前]/存储在数据库中的过程。执行 mysql_real_escape_string() 属于此步骤（尽管有更好的方法来清理数据库插入的用户数据），但此步骤还可以包括修剪空格、脏话过滤、标记转换等。

当将用户内容发送到浏览器时，输出转义会小心谨慎，不允许恶意行为。这意味着执行 htmlentities() 或其他一些选择性筛选过程。

您还可以执行其他操作，例如资源限制（DOS 预防）、表单令牌（CSRF 保护）等。转到 OWASP 并开始阅读。

Answer 3

Web 开发的黄金法则之一是永远（永远！）信任用户输入。因此，只要有数据进入数据库，就应该调用 mysql_real_escape_string()。

另外，为了防止将来客户生气，您应该定期备份数据库。如果我是你的客户，我现在会很生气。

祝您网站安全顺利。

Answer 4

防止 SQL 注入的最佳方法是使用准备好的语句和绑定变量。您使用什么版本的 MySQL？准备好的语句在 4.1 及更高版本中可用。