毕业开始从事winform到今年转到 web ，在码农届已经足足混了快接近3年了，但是对安全方面的知识依旧薄弱，事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下，希望大家多多提意见。

对于sql注入的攻防，我只用过简单拼接字符串的注入及参数化查询，可以说没什么好经验，为避免后知后觉的犯下大错，专门查看大量前辈们的心得，这方面的资料颇多，将其精简出自己觉得重要的，就成了该文。

什么是SQL注入攻击

SQL注入是一个网络安全漏洞，攻击者可以利用该漏洞来干扰应用程序对其数据库的查询。通常，它使攻击者可以查看他们通常无法检索的数据。这可能包括其他用户的数据，或者应用程序本身能够访问的任何其他数据。在许多情况下，攻击者可以修改或删除此数据，从而导致应用程序内容或行为的永久更改。

下面我们以登录模块来说明SQL注入攻击，登录模块其实就是执行SQL查询，看是否能匹配到查询结果。以下是从普通用户和尝试使用SQL注入的不良用户收集的示例字符串。

// 正常用户登录的SQL查询语句
$name = "timmy"; 
$query = "SELECT * FROM customers WHERE username = '$name'";
echo "Normal: " . $query . "<br />";
// user input that uses SQL Injection
$name_bad = "' OR 1'"; 
// our MySQL query builder, however, not a very safe one
$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
// display what the new query will look like, with injection
echo "Injection: " . $query_bad;

上面的php代码将输出如下：

正常SQL: SELECT * FROM customers WHERE username = 'timmy'
注入式SQL: SELECT * FROM customers WHERE username = '' OR 1''

正常SQL查询没有问题，因为我们的MySQL语句将从用户名等于timmy的客户中选择所有内容。

但是，注入攻击SQL实际上的查询行为与我们预期的有所不同。通过使用单引号（'）结束了我们的MySQL查询的字符串部分

然后使用OR子句1（始终为true）添加到我们的WHERE语句中。

此OR子句1始终为 true  ，因此该语句将查询customers表中的所有数据！

如何防止SQL注入

有三种方法可以防止SQL注入攻击。第一种方法使用mysql_real_escape_string()函数，第二种方法使用mysqli的prepare语句，第三种方法使用PDO（对于任何受支持的数据库驱动程序）。

mysql_real_escape_string()

//Connect
$unsafe_variable = $_POST["user-input"];
$safe_variable = mysql_real_escape_string($unsafe_variable);
mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
//Disconnect

mysqli的prepare语句

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
 $stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
 $stmt->execute();
 $result = $stmt->get_result();
 while ($row = $result->fetch_assoc()) {
     // Do something with $row
 $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
 $stmt->execute([ 'name' => $name ]);
 foreach ($stmt as $row) {
     // Do something with $row
好了， 以上是本文所有内容，希望对大家有所帮助，也希望大家对码农之家多多支持，你们的支持是我创作的动力！祝大家生活愉快！