为避免严重的安全问题,必须执行两项非常重要的操作。
- 您需要先对用户输入进行转义,然后再将其放入SQL查询中。转义表示转义所有特殊字符,如
'
; 幸运的是,有一个函数已经自动执行该操作:mysql_real_escape_string。
如果您不逃避用户的输入,可能会发生令人讨厌的事情。假设您的查询是
INSERT INTO userdata VALUES('$user_data')。现在想象一下用户写的'; DROP DATAbase userdata;。
如果您不进行转义,您的查询将变为:
INSERT INTO userdata VALUES (''; DROP DATAbaseuserdata;')。您可以想象这不是很好:如果启用了多条语句,您可以向数据库道别。这称为 SQL注入 攻击。- 将变量输出给用户时,还需要用HTML实体正确替换HTML特殊字符。幸运的是,也有一个函数可以做到这一点:htmlspecialchars()。它将转换特殊的HTML字符,例如
<
到<
。
这似乎是一个经常被低估的问题,但实际上这是非常严重的。想象如果
$user_data包含
<script>SomeNastyscript()</script>。它可能利用用户浏览器中的现有漏洞,或者可能向攻击者发送非HTTPOnly
cookie(可能包含已保存的密码),或者可能诱使用户将密码写在通过操纵DOM(可能在javascript中)或其他很多不好的东西。
这称为 XSS (跨站点脚本)。
精简版
mysql_real_escape_string
在将字符串插入到SQL查询中之前先调用它(但在您输入字符串时不echo
这样做)。htmlspecialchars
在将字符串显示给用户之前,先调用它(但当您将其放入数据库时不调用)。
