当前位置：首页 → 问答吧 → ＳＱＬ语句怎么写才不会被注入？

ＳＱＬ语句怎么写才不会被注入？

时间：2009-06-26

来源：互联网

ＳＱＬ语句怎么写才不会被注入？

作者: bugxiong 发布时间: 2009-06-26

好像只有写入防注入代码才行吧、。

作者: zhangtao-5 发布时间: 2009-07-07

没有不能被注入的代码。

作者: zhangtao-5 发布时间: 2009-07-07

应该是对对应字段进行判断限制，过滤非法字符，判断请求等来防止sql注入

作者: hyperblue 发布时间: 2009-07-11

数据库字段设计---不走寻常路(用一套自己约定的个性的命名方式)
程序里加仿注代码

....等等
安全问题不是一天两天就能搞好的
要上当
要吸取教训

作者: qq526701701 发布时间: 2009-07-14

不要用别人常用的单词去命名,弄的特别点!!!!

作者: gubin15 发布时间: 2009-07-21

where id=‘$_get[id]’ order by id desc

作者: eastjordan 发布时间: 2010-01-27

帮顶了

作者: guibi13305 发布时间: 2010-03-13

有更详细的方法吗？？？？？、????

作者: 304429404 发布时间: 2010-03-14

作者: sanren0202 发布时间: 2010-03-15

好啊支持

作者: jingruosi 发布时间: 2010-03-23

用内置函数

作者: zcf9916 发布时间: 2010-03-29

作者: windpurple 发布时间: 2010-03-29

用正则表达式来对输入语句进行判断....

作者: greytiger 发布时间: 2010-03-31

作者: wswl 发布时间: 2010-04-12

有很多中办法。

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，
所以一定要小心。php.ini中有一个设置：
magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = On

PHP magic_quotes_gpc的详细使用方法

下面是案例
代码:
1.
条件： magic_quotes_gpc=off
写入数据库的字符串未经过任何过滤处理。从数据库读出的字符串也未作任何处理。
数据： $data="snow''''sun" ; (snow和sun之间是四个连续的单引号).
操作：将字符串:"snow''''sun" 写入数据库，
结果：出现sql语句错误，mysql不能顺利完成sql语句，写入数据库失败。
数据库保存格式：无数据。
输出数据格式：无数据。
说明：对于未经处理的单引号在写入数据库时会使sql语句发生错误。
代码:

2.
条件： magic_quotes_gpc=off
写入数据库的字符串经过函数addslashes()处理。从数据库读出的字符串未作任何处理。
数据： $data="snow''''sun" ; (snow和sun之间是四个连续的单引号).
操作：将字符串:"snow''''sun" 写入数据库，
结果： sql语句顺利执行，数据成功写入数据库
数据库保存格式：snow''''sun (和输入一样)
输出数据格式：snow''''sun (和输入一样)
说明： addslashes()函数将单引号转换为\'的转义字符使sql语句成功执行，
但\'并未作为数据存入数据库，数据库保存的是snow''''sun 而并不是我们想象的snow\'\'\'\'sun
代码:
3.
条件： magic_quotes_gpc=on
写入数据库的字符串未经过任何处理。从数据库读出的字符串未作任何处理。
数据： $data="snow''''sun" ; (snow和sun之间是四个连续的单引号).
操作：将字符串:"snow''''sun" 写入数据库，
结果： sql语句顺利执行，数据成功写入数据库
数据库保存格式：snow''''sun (和输入一样)
输出数据格式：snow''''sun (和输入一样)
说明： magic_quotes_gpc=on 将单引号转换为\'的转义字符使sql语句成功执行，
但\'并未作为数据入数据库，数据库保存的是snow''''sun而并不是我们想象的snow\'\'\'\'sun。
代码:
4.
条件： magic_quotes_gpc=on
写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。
数据： $data="snow''''sun" ; (snow和sun之间是四个连续的单引号).
操作：将字符串:"snow''''sun" 写入数据库，
结果： sql语句顺利执行，数据成功写入数据库
数据库保存格式：snow\'\'\'\'sun (添加了转义字符)
输出数据格式：snow\'\'\'\'sun (添加了转义字符)
说明： magic_quotes_gpc=on 将单引号转换为\'的转义字符使sql语句成功执行，
addslashes又将即将写入数据库的单引号转换为\',后者的转换被作为数据写入
数据库，数据库保存的是snow\'\'\'\'sun

总结如下：

1. 对于magic_quotes_gpc=on的情况，
我们可以不对输入和输出数据库的字符串数据作
addslashes()和stripslashes()的操作,数据也会正常显示。
如果此时你对输入的数据作了addslashes()处理，
那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。
2. 对于magic_quotes_gpc=off 的情况
必须使用addslashes()对输入数据进行处理，但并不需要使用stripslashes()格式化输出
因为addslashes()并未将反斜杠一起写入数据库，只是帮助mysql完成了sql语句的执行。

补充：
magic_quotes_gpc 作用范围是：ＷＥＢ客户服务端；作用时间：请求开始时，例如当脚本运行时．
magic_quotes_runtime 作用范围：从文件中读取的数据或执行exec()的结果或是从ＳＱＬ查询中得到的；作用时间：每次当脚本访问运行状态中产生的数据
详细出处参考：http://www.jb51.net/article/15526.htm

作者: hmily 发布时间: 2010-04-13

要吃一堑长一智啊

作者: 轩轩发布时间: 2010-04-14

不错的帖子

作者: jiaotf 发布时间: 2010-04-27

sql怎么写都没有，只能是过滤一下sql

作者: liuhao123 发布时间: 2010-07-15

学学高招

作者: jorn_2008 发布时间: 2010-07-28

学习下

作者: hudeyong926 发布时间: 2010-08-04

是的，只要是代码的，都可以是被注入的，呵呵。