PHP防SQL注入详细设计说明书

1、永远不要信任用户的输入。对用户的输入进行校验<PHP防SQL注入类>详细设计说明书2014年5月目录1.防注入的指导思想22.功能设计22.1脚本解析安全设置22.2正式地址禁用错误报告22.3使用参数化查询32.4对请求提交的数据进行验证42.5转化敏感字符43.详细设计54.防注入功能测试74.1代码准备：74.2注入测试94.3防止Sql注入101. 防注入的指导思想² 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双"-"进行转换等。² 永远不要使用动态拼装sql，可以使用参数化的sql或者直

2、接使用存储过程进行数据查询存取。² 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。² 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。² 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装² sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。2. 功能设计2.1 脚本解析安全设置ini文件中可以配置一些涉

3、及安全性的设置，通过这些设置可以增加SQL的注入难度，降低SQL注入风险。主要的从以下几个方面设置：² 设置“magic_quotes_gpc”为“on”² 设置“register_globals”为“off”² 设置“safe_mode”为“on”² 设置“open_basedir”为“on”² 设置“display_errmors”为“off”2.2 正式地址禁用错误报告屏蔽错误提示可以有效的保护数据库信息，增加SQL的注入难度，降低SQL注入风险。在配置文件开头加代码：error_reporting(0);2.3 使用参数化查询PHP数据

4、库连接类PDO（或其他数据库抽象类库）的prepare()方法构造参数化查询，可以有效的阻止Sql注入，这比自己编写Sql注入过滤函数库有效很多很多。PDO使用举例：<?php$pdo = new PDO("mysql:host=;dbname=test;","root");$pdo->setAttribute(PDO:ATTR_EMULATE_PREPARES, false); /设置禁止php本地转义。$sql="select * from

5、0;info where id =? and name = ?"if($age)$sql.=" and age =?"/构建动态Sql$st = $pdo->prepare();$id = 21;$name = 'zhangsan' $st->bindParam(1,$id);$st->bindParam(2,$name);if($age)$st->bindParam(3,$age);$

6、st->execute();$st->fetchAll();?>2.4 对请求提交的数据进行验证SQL注入攻击实质上是构造畸形的SQL语句，通过WEB应用程序送达数据库系统执行的。如果WEB应用程序对用户输入的参数进行过滤，使得参数构造的SQL语句不能送达数据库系统执行。² 验证输入的数据是否符合规定的数据类型，长度是否合法，。如金额必须是数字、公司编码必须是6位、日期类型的格式是否正确等。对请求的数据进行验证是很有必要的，既保证了数据的完整性，又可以防止SQL注入。² 在前端浏览器，限制表单内容的输入长度，比如公司编码的文本框最大长度为6，发车凭证最大为

7、11，运单号的最大长度为13等。2.5 转化敏感字符2.5.1 要转化的敏感字符单引号（'）、双引号（"）、反斜线（）等2.5.2 用PDO的quote()方法进行转化<?phprequire './config/config.php'$injection="'"if(!get_magic_quotes_gpc()$injection=$pdo->quote($injection); /只对未进行magic_quotes_gpc转义的变量转义。避免进行双层转义echo $injection;?>输出：'&#

8、39;'2.5.3 用php的mysql_real_escape_string()方法进行转化mysql_real_escape_string()转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集。并不转义 % 、 _、x00、 n、 r。<?phprequire './config/config.php'$injection="'"if(!get_magic_quotes_gpc()$injection=mysql_real_escape_string($injection); /只对未进行magic_quotes

9、_gpc转义的变量转义。避免进行双层转义echo $injection;?>输出：'3. 详细设计对POST、GET、REQUERE的请求数据进行过滤<?php/* * 功能：对用户请求提交的数据进行校验转义 * 日期：2014年5月20日 * author lujiang * */class safeprivate $tpobj;/* * 析构函数 * */function _construct()$this->tpobj=''/* * * param $obj 要处理的对象 * return 转义后字符 * name 数据转义函数 */public

10、 static function tranParams($obj)if(!get_magic_quotes_gpc() if(is_array($obj) foreach($obj as $key => $val) $obj$key = self:tranparams($val);else $obj = mysql_real_escape_string($obj);return $obj;/* * name 对post、get进行转义 * */public static function tranRequest()global $_POST;global $_GET;global $_R

11、EQUEST;global $_SESSION;if(!get_magic_quotes_gpc() $_POST=self:tranParams($_POST); $_GET=self:tranParams($_GET); $_REQUEST=self:tranParams($_REQUEST); $_SESSION=self:tranParams($_SESSION); 4. 防注入功能测试4.1 代码准备：4.1.1 前端登录页面<!DOCTYPE html PUBLIC "-/W3C/DTD HTML 4.01 Transitional/EN" "h

12、ttp://TR/html4/loose.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body><div style="width: 30%"><form action="test.php

13、" method="post"><fieldset><legend>SQL注入演示</legend>账号：<input type="text" id="u" name="u" value="1"/><br/><br/>密码：<input type="text" id="p" name="p" value=""/><

14、;br/><br/><input type="submit" id="s" name="s" value="提交"/></fieldset></form></div></body></html>4.1.2 采用PDO连接数据库<?php$host=''$user="person"$password="person"$dbname="tes

15、t"$port="3306"try $DSN="mysql:host=$host;dbname=$dbname"$pdo=new PDO($DSN,$user,$password);$pdo->query('set names UTF8');$pdo->setAttribute(PDO:ATTR_ERRMODE,PDO:ERRMODE_EXCEPTION); catch (PDOException $e) echo 'error: '.$e->getMessage();?>4.1.3 登录

16、功能处理页面<?php include 'safe_class.php'include 'db.config.php'header("Content-Type: text/html; charset=UTF-8");error_reporting(1);$user=$_POST'u'$pwd=$_POST'p'$sql = "SELECT * FROM users WHERE u='" . $user . "' AND p='" . $pwd

17、 . "'"$userArr=$pdo->query($sql)->fetchAll();if($userArr)echo '登录成功！'elseecho '登录失败！'?>4.2 注入测试4.2.1 通过注入实现登录在用户名处录入：' or 1 = 1 - 点击提交，提示：登录成功!4.2.2 通过注入判断订单表的名称在用户名处录入：' And (Select count(*) from order)<>0 -点击提交，程序报错，如下图说明表名不是order。在用户名处录入：'

18、And (Select count(*) from order)<>0 -点击提交，程序未报错，提示：登录失败！。说明订单表的名称是：orders。4.3 防止Sql注入4.3.1 在登录功能页面中加入请求转义功能代码：safe:tranRequest();<?php include 'safe_class.php'include 'db.config.php'header("Content-Type: text/html; charset=UTF-8");error_reporting(1);safe:tranRequest();$user=$_POST'u'$pwd=$_POST'p'$sql = "SELECT * FROM users WHERE u='" . $user . "' AND p='" . $pwd