过滤 SQL 注入的 URL 查询字符串 - PHP

Question

我收到一个需要修复的网站，该网站最近被 SQL 注入攻击。据我所知，Havij 自动 SQL 注入器用于将代码插入到 url 的查询字符串参数中。

该网站是一个定制的 CMS 构建，有点过时。我认为全面重建是不可能的。

防止这种情况再次发生的最佳方法是什么？我是一名 PHP 开发人员，但通常只是对表单进行验证，或者使用已经内置此功能的系统 - wordpress、codeigniter、drupal 等。

任何想法或想法都会受到赞赏。

谢谢

Answer 1

只有一个简单的规则：放入 sql 查询中的每个变量（无论它来自哪里 - 来自用户还是已经从数据库获取的内容）都应该使用 <代码>mysql_real_escape_string()之前。

或者您可以使用准备好的查询（准备好的语句/占位符），这并不重要。

Answer 2

您可能无法更改所有代码，但也许您可以更改数据库代码。如果是这样，请尝试使用 PDO 和准备好的语句。我推荐 pdo 因为你没有指定数据库类型。如果你使用mysql，我认为mysqli也提供了准备好的语句。

Answer 3

$url = filter_var($url, FILTER_SANITIZE_URL);