SQL 注入

如果你從網(wǎng)頁中獲取用戶輸入，并將其插入到 SQL 數(shù)據(jù)庫中的話，那么你很可能已經(jīng)暴露于一種被稱作 SQL 注入的安全風險之下了。

本節(jié)將會教你如何防止 SQL 注入，以及如何保護 Perl 這樣的服務器端腳本中的程序和 SQL 語句。

注入通常發(fā)生在獲取用戶輸入的時候，例如預期得到用戶的名字，但是得到的卻是一段很可能會在你不知情的情況下運行的 SQL 語句。

絕對不要相信用戶提供的數(shù)據(jù)，處理這些數(shù)據(jù)之前必須進行驗證；通常，驗證工作由模式匹配來完成。

下面的例子中，name 僅限由字母、數(shù)字和下劃線組成，并且長度在 8 到 20 之間（你可以根據(jù)需要修改這些規(guī)則）。

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
   $result = mysql_query("SELECT * FROM CUSTOMERS 
                          WHERE name=$matches[0]");
}
else 
{
   echo "user name not accepted";
}

為了展示問題所在，請考慮下面這段代碼：

// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");

下面的函數(shù)調(diào)用本來是要從 CUSTOMERS 表中取得 name 字段與用戶給定的輸入相匹配的記錄。通常情況下，$name 只包含字母和數(shù)字，或許還有空格，例如字符串 ilia。但是，這里通過在 $name 上附加一段全新的查詢語句，將原有的函數(shù)調(diào)用變?yōu)榱藬?shù)據(jù)庫的災難：注入的 DELETE 語句將會刪除表中所有的記錄。

幸運的是，如果你在使用　MySQL 的話，mysql_query() 函數(shù)不允許查詢堆積（query stacking），或者說在一次函數(shù)調(diào)用中執(zhí)行多次 SQL 查詢。如果你試圖進行堆積式查詢的話，函數(shù)調(diào)用將會失敗。

然而，其他的 PHP 數(shù)據(jù)庫擴展，例如 SQLite 和 PostgreSQL 會愉快地接受堆積式查詢，執(zhí)行字符串中所有的查詢，并由此產(chǎn)生嚴重的安全問題。

阻止 SQL 注入：

你可以在 Perl 或者 PHP 等腳本語言中巧妙地處理所有的轉義字符。PHP 的 MySQL 擴展提供了一個 mysql_real_escape_string() 函數(shù)，來轉義那些對 MySQL 有特殊意義的字符。

if (get_magic_quotes_gpc()) 
{
  $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");

LIKE 困境：

要破解 LIKE 困境，必須有一種專門的轉義機制，將用戶提供的 '%' 和 '_' 轉換為字面值。為此你可以使用 addcslashes() 函數(shù)，該函數(shù)允許指定要進行轉義的字符的范圍。

$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages 
             WHERE subject LIKE '{$sub}%'");