PHP与MySQL中的SQL注入式漏洞

SQL注入式漏洞是许多PHP程序的主要安全危害，产生的原因是在向数据库执行插入等语句时，web开发者允许最终用户操作变量（例如根据表单提交内容显示相应信息），通常是_GET、_POST或_SESSION等全局变量。

让我们看以下的代码：

1. <?php
   
2. query = "Select news_title, news_text "; 
3. query .= "FROM news"; 
4. query .= "Where news_id=". _GET['id']; 
5. mysql_query(query); 
6. ?> 

如果认为其中的_GET[‘id’]会永远是个数值型的值那将是很严重的错误。最终用户可以改变这个变量的值，例如"0; Delete FROM news;"，那么query语句就会变成下面的值：

Select news_title, news_text FROM news Where news_id=0; Delete FROM news;

这将产生很严重的后果。

验证数值型数据

数值型数据是最容易验证的，PHP有一个自带的函数叫 is_numeric()可以返回ture值来判断是否是数值型，这个函数并不是MySQL自带的，因此可在任何数据库平台的php程序中用于验证数字。

下面是修改后的代码：

1. <?PHP 
2. if (!is_numeric(_GET['id'])) 
3. { 
4. // id's not numeric? 
5. // kill the script before the query can run 
6. die("The id must be numeric!"); 
7. } 
8. query = "Select news_title, news_text "; 
9. query .= "FROM news"; 
10. query .= "Where news_id=". _GET['id']; 
11. mysql_query(query); 
12. ?> 

验证非数值型数据

非数值型数据的验证稍有点麻烦。PHP有个叫Magic Quotes的特殊功能。当它激活时，PHP会自动过滤掉_GET和_POST全局变量中的反斜线符号（\），双引号（”），单引号（’）和空白字符。问题是并不是所有的服务器都能打开了这个功能，所以必须检测服务器是否开通了这个功能。可以使用get_magic_quotes_gpc()函数来判定maigc quotes功能是否打开。
在MySQL查询语句可以使用mysql_real_escape_string()函数来增强安全性，代码如下：

1. <?PHP 
2. // Fix a _POST variable called firstName for MySQL 
3. firstName = _POST['firstName']; 
4. if (get_magic_quotes_gpc()) 
5. { 
6. // If magic quotes is enabled - turn the string back into an unsafe string 
7. firstName = stripslashes(firstName); 
8. } 
9. // Now convert the unsafe string into a MySQL safe string 
10. firstName= mysql_real_escape_string(firstName); 
11. // firstName should now be safe to insert into a query 
12. ?> 

输出到页面

为正确显示字符中的引号和反斜线，应使用stripslashes()函数

1. <?PHP 
2. firstName = _POST['firstName']; 
3. if (get_magic_quotes_gpc()) 
4. { 
5. // If magic quotes is enabled - turn the string back into an unsafe string 
6. firstName = stripslashes(firstName); 
7. } 
8. // Now convert the unsafe string into a MySQL safe string 
9. firstName = mysql_real_escape_string(firstName); 
10. // Safe query 
11. mysql_query("Insert INTO Names VALUES('". firstName ."')"); 
12. // Page output should look proper 
13. echo "Hello ". htmlentities(stripslashes(firstName)); 
14. ?> 

最终整合

最后可以建立一个简单的函数来解决在PHP中如果安全的进行MySQL查询字符。值得注意的是，如果要输出到WEB页面上还需要使用stripslashes。

1. <?PHP 
2. function VerifyInput(input, forceInt = false) 
3. { 
4. if (is_numeric(input)) 
5. { 
6. return input; 
7. } 
8. elseif (!forceInt) 
9. { 
10. if (get_magic_quotes_gpc()) 
11. { 
12. // if magic quotes is enabled, get rid of those 
13. // pesky slashes 
14. input = stripslashes(input); 
15. } 
16. // convert the input variable into a MySQL safe string. 
17. input = mysql_real_escape_string(input); 
18. return input; 
19. } 
20. else 
21. { 
22. // if input not an integer and forceInt = true, 
23. // kill script 
24. die("Invalid Input"); 
25. } 
26. } 
27. // _POST['name'] should be a string 
28. // _POST['id'] should be an integer, if not the script dies 
29. id = _POST['id']; 
30. name = _POST['name']; 
31. query = "Update users SET name=". VerifyInput(name) ." "; 
32. query .= "Where id=". VerifyInput(id, true); 
33. // query should be safe to run 
34. mysql_query(query); 
35. ?>