如何防止站点遭受 SQL 注入

Question

我想使用 PHP 和 PHP 从头开始​​创建一个网站。 MYSQL采用MVC架构。但根据客户要求，该站点必须防止 SQL 注入和代码注入。

我需要执行哪些必要步骤。

或者

哪个是启动该网站的最佳框架，可以防止 SQL 注入和代码注入。

我没有要求这个框架来创建一个牢记的讨论。我只是想知道哪一个更好，以便我可以从专业人士的指导开始。

谢谢我提前...

Answer 1

到目前为止，防止 SQL 注入最可靠的方法是专门使用 mysqli 参数化查询而不是手动构建 SQL 语句。

它比 mysql_real_escape_string() 好得多，因为意外忘记使用它的风险较低。

为了防止服务器端代码注入，在任何情况下都不要使用 eval()

要防止 Javascript 注入，请使用 strip_tags() 在显示它或将其存储在数据库中之前。

Answer 2

这两个函数将帮助您：

function escape($escape)
{
    $escape = mysql_real_escape_string($escape) ;
    return $escape ;
}

function _INPUT($name)
{
    if ($_SERVER['REQUEST_METHOD'] == 'GET') {
        return strip_tags($_GET[$name]);
        }
    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
        return strip_tags($_POST[$name]);
        }
}

使用 escape() 函数将所有内容发送到数据库并使用 _INPUT() 抓取所有表单。您可以对每个 $_POST 或 $_GET 使用 _INPUT 函数，但布尔函数除外，如empty($_POST['name']) 或 isset($_POST['name']) 等。

Answer 3

立即使用 mysql_real_escape_string() 转义来自 $_GET[]、$_POST[] 等的所有输入。

Answer 4

在传递字符串参数来构建 SQL 语句时，使用 mysql_real_escape_string 。其中包括作为字符串处理的数字等参数。

Answer 5

您应该查看本教程： http://www.learnphponline.com/安全/sql-injection-prevention-mysql-php

Answer 6

使用 mysql_real_escape_string

Answer 7

最好的方法是使用准备好的语句，没有之一。这将使您不必自己手动编写代码并平衡一切。 PHP 的 mysqli 已内置此功能，并且是进入这个世界的良好第一步。请查看 PHP 手册页。

Answer 8

在了解了此处给出的有关在将用户数据放入数据库之前转义用户数据的所有好技巧之后，您必须考虑问题的第二个方面。

转义输出

这意味着应用程序的每个输出都应该根据此输出格式的规则进行转义。
例如，当您回显 HTML 页面的某些内容时，您必须通过 htmlentites 对其进行转义，以便数据中包含的任何 HTMl 在输出中都不会是 html。
对于 csv 输出，您应该转义引号或逗号，对于 JSON，您也应该转义，等等，每个输出都有他的规则。

这个东西有时用于在数据库中存储有潜在危险的数据（js代码，Html代码），仅在插入之前防止SQL注入。然后确保在任何输出之前正确转义它。

另一种思考方式是在数据库存储之前阻止任何js或HTML代码，但您仍然应该转义输出（以防万一）。

谈论框架，您应该看看 Zend Framework 上的 Zend_Filter、Zend_Validate 以及视图上的转义函数。