摘要：用戶提交過(guò)來(lái)的數(shù)據(jù)都是不可信的，所以，在查庫(kù)或入庫(kù)前需要對(duì)提交過(guò)來(lái)的數(shù)據(jù)進(jìn)行過(guò)濾或字符的轉(zhuǎn)換處理，以防止注入或攻擊等問(wèn)題。

用戶提交過(guò)來(lái)的數(shù)據(jù)都是不可信的，所以，在查庫(kù)或入庫(kù)前需要對(duì)提交過(guò)來(lái)的數(shù)據(jù)進(jìn)行過(guò)濾或字符的轉(zhuǎn)換處理，以防止SQL注入或xss攻擊等問(wèn)題。

什么是SQL注入攻擊？

所謂SQL注入，就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

尋找SQL注入的方法：

1.通過(guò)get請(qǐng)求

2.通過(guò)post請(qǐng)求

3.其他http請(qǐng)求，如cookie

常見(jiàn)的SQL注入問(wèn)題：

數(shù)據(jù)庫(kù)查詢參數(shù)的類型轉(zhuǎn)換處理

Talk is cheap,Show me the code.
多說(shuō)無(wú)益，代碼亮出來(lái)吧！

  // 構(gòu)造動(dòng)態(tài)SQL語(yǔ)句
? $sql = "select * from tbl where field = "$_GET["input"]"";

? // 執(zhí)行SQL語(yǔ)句
? $res = mysql_query($sql);

測(cè)試：
在下邊的網(wǎng)址后邊加一個(gè)單引號(hào)，就會(huì)報(bào)數(shù)據(jù)庫(kù)錯(cuò)誤
http://testphp.vulnweb.com/ar...

// 構(gòu)造動(dòng)態(tài)SQL語(yǔ)句
$sql = "select * from tbl where field = $_GET["user_id"]";

// 執(zhí)行SQL語(yǔ)句
 $res = mysql_query($sql);

Mysql內(nèi)置了一個(gè)命令，可以讀取文件

Union all select load_file("/etc/passwd")--

select * from tbl where userid = 1 union all select load_file("etc/passwd")--

該命令會(huì)獲取數(shù)據(jù)庫(kù)管理員的密碼。

處理方法：
需要將客戶端傳過(guò)來(lái)的數(shù)據(jù)進(jìn)行類型強(qiáng)制轉(zhuǎn)換，而后再查詢

$user_id = (int)$_GET["user_id"];
"select * from tbl where userid = {$user_id}";

user.php?table=user&

即將站點(diǎn)的錯(cuò)誤信息暴漏給用戶，這樣非常危險(xiǎn)。

// 構(gòu)造動(dòng)態(tài)查詢語(yǔ)句

$getid?=?"select?*?from?tbl?where?userid?>?1";

// 執(zhí)行SQL語(yǔ)句

$res = mysql_query($getid) or die("
".mysql_error()."
");

// 參數(shù)是否是一個(gè)字符串

if(is_string($_GET["param"])){}

在入庫(kù)的時(shí)候如果不過(guò)濾 " ""這樣的東西，這樣會(huì)使數(shù)據(jù)庫(kù)報(bào)錯(cuò)，或者注入等問(wèn)題。

先將字符串用htmlspecialchars（）轉(zhuǎn)換為實(shí)體后存儲(chǔ)到數(shù)據(jù)庫(kù)，然后從數(shù)據(jù)庫(kù)讀出來(lái)時(shí)htmlspecialchars_decode（）轉(zhuǎn)為HTML標(biāo)簽。

htmlspecialchars() 函數(shù)把一些預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體。

函數(shù)原型：htmlspecialchars(string,quotestyle,character-set)

預(yù)定義的字符是：

& （和號(hào)）    成為 &
” （雙引號(hào)）  成為 "
‘ （單引號(hào)）  成為 '
< （小于）    成為 <
> （大于）    成為 >

htmlspecialchars_decode() 函數(shù)把一些預(yù)定義的 HTML 實(shí)體轉(zhuǎn)換為字符（和htmlspecialchars相反）。

函數(shù)原型：htmlspecialchars_decode(string,quotestyle)

什么是xss攻擊？
和上邊的sql注入不同的是，xss攻擊是合法的字符串，如經(jīng)過(guò)htmlspecialchars()方法實(shí)體化后，可以保存在數(shù)據(jù)庫(kù)中，但是，當(dāng)訪問(wèn)含有該字符串的內(nèi)容頁(yè)面時(shí)，就會(huì)出現(xiàn)問(wèn)題，如字符串里邊還有JavaScript，frame代碼，原來(lái)的頁(yè)面就會(huì)被篡改。

比如你寫個(gè)留言本，有人去留言寫

除了通過(guò)正常途徑輸入XSS攻擊字符外，還可以繞過(guò)JavaScript校驗(yàn)，通過(guò)修改請(qǐng)求達(dá)到XSS攻擊的目的，如下圖：

了解到XSS攻擊的原理和危害后，其實(shí)要預(yù)防也不難，下面提供一個(gè)簡(jiǎn)單的PHP防止XSS攻擊的函數(shù)：

除了通過(guò)正常途徑輸入XSS攻擊字符外，還可以繞過(guò)JavaScript校驗(yàn)，通過(guò)修改請(qǐng)求達(dá)到XSS攻擊的目的。

了解到XSS攻擊的原理和危害后，其實(shí)要預(yù)防也不難，下面提供一個(gè)簡(jiǎn)單的PHP防止XSS攻擊的函數(shù)：

";
clean_xss($str); //如果你把這個(gè)注釋掉，你就知道xss攻擊的厲害了
echo $str;
?>

避免被XSS：
1.給用戶開(kāi)放的編輯器盡量過(guò)濾掉危險(xiǎn)的代碼
如果是html編輯器，一般的做法是保留大部分代碼，過(guò)濾部分可能存在危險(xiǎn)的代碼，如script, iframe等等

預(yù)處理語(yǔ)句對(duì)于防止 MySQL 注入是非常有用的。

預(yù)處理語(yǔ)句及綁定參數(shù)
預(yù)處理語(yǔ)句用于執(zhí)行多個(gè)相同的 SQL 語(yǔ)句，并且執(zhí)行效率更高。
預(yù)處理語(yǔ)句的工作原理如下：
預(yù)處理：創(chuàng)建 SQL 語(yǔ)句模板并發(fā)送到數(shù)據(jù)庫(kù)。預(yù)留的值使用參數(shù) "?" 標(biāo)記 。例如：

INSERT 
    INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

數(shù)據(jù)庫(kù)解析，編譯，對(duì)SQL語(yǔ)句模板執(zhí)行查詢優(yōu)化，并存儲(chǔ)結(jié)果不輸出。
執(zhí)行：最后，將應(yīng)用綁定的值傳遞給參數(shù)（"?" 標(biāo)記），數(shù)據(jù)庫(kù)執(zhí)行語(yǔ)句。應(yīng)用可以多次執(zhí)行語(yǔ)句，如果參數(shù)的值不一樣。
相比于直接執(zhí)行SQL語(yǔ)句，預(yù)處理語(yǔ)句有兩個(gè)主要優(yōu)點(diǎn)：

預(yù)處理語(yǔ)句大大減少了分析時(shí)間，只做了一次查詢（雖然語(yǔ)句多次執(zhí)行）。
綁定參數(shù)減少了服務(wù)器帶寬，你只需要發(fā)送查詢的參數(shù)，而不是整個(gè)語(yǔ)句。
預(yù)處理語(yǔ)句針對(duì)SQL注入是非常有用的，因?yàn)閰?shù)值發(fā)送后使用不同的協(xié)議，保證了數(shù)據(jù)的合法性。

PDO預(yù)處理機(jī)制
可以使用多種方式實(shí)現(xiàn)預(yù)處理：指的是在綁定數(shù)據(jù)進(jìn)行執(zhí)行的時(shí)候，可以有多種方式。

預(yù)處理語(yǔ)句中為變量
使用數(shù)組指定預(yù)處理變量

　　1、準(zhǔn)備預(yù)處理語(yǔ)句（發(fā)送給服務(wù)器，讓服務(wù)器準(zhǔn)備預(yù)處理語(yǔ)句）

　　PDOStatement PDO::prepare：類似exec將一條SQL語(yǔ)句發(fā)送給Mysql服務(wù)器　　

　　　　//PDO::prepare 能夠自動(dòng)的準(zhǔn)備一個(gè)預(yù)處理語(yǔ)句，用戶需要準(zhǔn)備的只是預(yù)處理所要執(zhí)行的語(yǔ)句
　　　　//需求：往學(xué)生表里循環(huán)插入10條記錄
　　　　//PDO的預(yù)處理能夠自動(dòng)的將對(duì)應(yīng)的以:開(kāi)始的變量給記錄下來(lái)，實(shí)際發(fā)送給服務(wù)器的是“？”
　　　　$sql1 = "insert into pro_student values(null,:s_name,:s_num,:s_gender,:s_age,:c_id)";

　　2、發(fā)送預(yù)處理語(yǔ)句

　　　　$stmt = $pdo->prepare($sql1);

　　3、給預(yù)處理綁定數(shù)據(jù)

　　　　$arr = array(
　　　　　　":s_name" => "房祖名",
　　　　　　":s_num" => "itcast0013",
　　　　　　":s_gender" => 0,
　　　　　　":s_age" => 28,
　　　　　　":c_id" => 2
　　　　);

 

　　4、執(zhí)行預(yù)處理：將要操作的數(shù)據(jù)發(fā)送給預(yù)處理語(yǔ)句，再執(zhí)行預(yù)處理語(yǔ)句

　　　　PDOStatement::execute([$array])：數(shù)組用來(lái)傳遞對(duì)應(yīng)的參數(shù)

　　　　$stmt->execute($arr); //執(zhí)行預(yù)處理

PDO預(yù)處理原理
PDO的預(yù)防sql注入的機(jī)制也是類似于使用mysql_real_escape_string 進(jìn)行轉(zhuǎn)義，PDO 有兩種轉(zhuǎn)義的機(jī)制，第一種是本地轉(zhuǎn)義，這種轉(zhuǎn)義的方式是使用單字節(jié)字符集（PHP < 5.3.6）來(lái)轉(zhuǎn)義的（單字節(jié)與多字節(jié)），來(lái)對(duì)輸入進(jìn)行轉(zhuǎn)義，但是這種轉(zhuǎn)義方式有一些隱患。隱患主要是：在PHP版本小于5.3.6的時(shí)候，本地轉(zhuǎn)義只能轉(zhuǎn)換單字節(jié)的字符集，大于 5.3.6 的版本會(huì)根據(jù) PDO 連接中指定的 charset 來(lái)轉(zhuǎn)義。

第二種方式是PDO，首先將 sql 語(yǔ)句模板發(fā)送給Mysql Server，隨后將綁定的字符變量再發(fā)送給Mysql server，這里的轉(zhuǎn)義是在Mysql Server做的，它是根據(jù)你在連接PDO的時(shí)候，在charset里指定的編碼格式來(lái)轉(zhuǎn)換的。這樣的轉(zhuǎn)義方式更健全，同時(shí)還可以在又多次重復(fù)查詢的業(yè)務(wù)場(chǎng)景下，通過(guò)復(fù)用模板，來(lái)提高程序的性能。如果要設(shè)置Mysql Server 來(lái)轉(zhuǎn)義的話，就要首先執(zhí)行：

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

原始鏈接方法：

setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);    
$dbh->exec("set names utf8");   

$title    = "我們的愛(ài)情";
$content  = "你是/誰(shuí)啊，大幾都"老梁"做做&>women沒(méi)" . " 測(cè)試打印號(hào)"我是單引號(hào)"哈哈";
$user_id  = 174742;
$add_time = date("Y-m-d H:i:s");

$insert_sql = "insert into post_tbl (title, content, user_id, add_time) values (:x_title, :x_content, :x_user_id, :x_add_time)";

$stmt = $dbh->prepare($insert_sql); 
$stmt->execute(array("x_title"=>$title,":x_content"=> $content, ":x_user_id" => $user_id, ":x_add_time" => $add_time));    
echo $dbh->lastinsertid();    

/**
*  插入用戶的Token
*/
function photo_save_token($user_id, $token)
{
    // 參數(shù)判斷
    $user_id = (int)$user_id;
    $token = trim($token);
  
    if(empty($token) || empty($user_id)) return false;

    $sql = "replace into token_db.app_token_tbl
( user_id, token, t_date, last_open_time)
values
( :x_user_id, :x_token, :x_t_date, :x_last_open_time)";
    sqlSetParam($sql,"x_user_id",$user_id);
    sqlSetParam($sql,"x_token",$token);
    sqlSetParam($sql,"x_t_date",date("Y-m-d H:i:s"));
    sqlSetParam($sql,"x_last_open_time", time());
    return mysql_query($sql);
}

if (get_magic_quotes_gpc()==1){
     $name=stripcslashes($_POST["name"]);       
}else{
     $name=$_POST["name"];
}

function editor_safe_replace($content)
{
   $content = trim($content);

    $tags = array(
        ""]*?>.*?"is",
        ""]*?>.*?"is",
        ""]*?>.*?"is",
        ""]*?>.*?"is",
        ""]*?>.*?"is",
        ""]*?>"is",
        ""]*?>"is",
    );
   
    
    // 1.先過(guò)濾掉含有xss攻擊的代碼
    $content = preg_replace($tags, "", $content);
    
     // strip_tags過(guò)濾掉全部HTML標(biāo)簽（script,iframe,head,a 等標(biāo)簽）和上邊的正則方法類似
     // $content = strip_tags($content);
    
    // 2.入庫(kù)時(shí)，防止sql注入，轉(zhuǎn)為HTML實(shí)體保存在數(shù)據(jù)庫(kù),單雙引號(hào)都轉(zhuǎn)
     $content = htmlspecialchars($content, ENT_QUOTES);
     
    // 3.替換反斜杠
    $content = preg_replace("http://", "\", $content);

    // 4.替換斜杠
    $content = preg_replace("http:///", "/", $content);
     
     return $content;
}