1.防止sql ?注入

所謂SQL注入，就是透過將SQL指令插入Web表單遞交或輸入網(wǎng)域名稱或頁(yè)面請(qǐng)求的查詢字串，最終達(dá)到欺騙伺服器執(zhí)行惡意的SQL指令。

我們永遠(yuǎn)不要信任使用者的輸入，我們必須認(rèn)定使用者輸入的資料都是不安全的，我們都需要對(duì)使用者輸入的資料進(jìn)行過濾處理

例如註冊(cè)，使用者需要填寫使用者名，密碼，等

?我們?cè)诮邮者@些資料的時(shí)候，先對(duì)他進(jìn)行判斷，首先是前端頁(yè)面，我們可以用js 去判斷，如果在前面就不合法，那麼就是要重新去填寫的，全部合法之後，我們接收的信息，比如用戶名，有沒有被註冊(cè)，我們要去數(shù)據(jù)庫(kù)查詢，跟表單提交過的用戶名信息判斷，如果存在，那麼是不讓註冊(cè)的，我們也可以用正規(guī)表示式來控制他的格式，比如說只能是中文或英文，不能超過幾位。等等

?我們也可以對(duì)表單提交的資料進(jìn)行過濾處理

#防止SQL注入，我們需要注意以下幾個(gè)要點(diǎn)：

·?1 .永遠(yuǎn)不要信任使用者的輸入。對(duì)使用者的輸入進(jìn)行校驗(yàn)，可以透過正規(guī)表示式，或限制長(zhǎng)度；對(duì)單引號(hào)和 雙"-"進(jìn)行轉(zhuǎn)換等。

·?2.永遠(yuǎn)不要使用動(dòng)態(tài)拼裝sql，可以使用參數(shù)化的sql或直接使用預(yù)存程序進(jìn)行資料查詢存取。

·?3.永遠(yuǎn)不要使用管理員權(quán)限的資料庫(kù)連接，為每個(gè)應(yīng)用程式使用單獨(dú)的權(quán)限有限的資料庫(kù)連接。

·?4.不要把機(jī)密資訊直接存放，加密或hash掉密碼和敏感的資訊。

·?5.應(yīng)用的例外資訊應(yīng)該給予盡可能少的提示，最好使用自訂的錯(cuò)誤訊息對(duì)原始錯(cuò)誤訊息進(jìn)行包裝

·?6.sql注入的偵測(cè)方法一般會(huì)採(cǎi)取輔助軟體或網(wǎng)站平臺(tái)來檢測(cè)，軟體一般採(cǎi)用sql注入檢測(cè)工具jsky，網(wǎng)站平臺(tái)就有億思網(wǎng)站安全平臺(tái)檢測(cè)工具。 MDCSOFT SCAN等。採(cǎi)用? ? ?MDCSOFT-IPS可以有效的防禦SQL注入，XSS攻擊等

防止sql ?注入

在腳本語(yǔ)言，如Perl和PHP你可以對(duì)使用者輸入的數(shù)據(jù)進(jìn)行轉(zhuǎn)義從而來防止SQL注入。

PHP的MySQL擴(kuò)充提供了mysql_real_escape_string()函數(shù)來轉(zhuǎn)義特殊的輸入字元

<?php
    if (get_magic_quotes_gpc()) {
          $name = stripslashes($name);
    }
    $name = mysql_real_escape_string($name);
    mysql_query("SELECT * FROM users WHERE name='{$name}'");
?>

Like語(yǔ)句中的注入

#like查詢時(shí)，如果使用者輸入的值有"_"和"%"，則會(huì)出現(xiàn)這種情況：使用者本來只是想查詢"abcd_"，查詢結(jié)果中卻有"abcd_"、"abcde"、"abcdf"等等；用戶要查詢"30%"（註：百分之三十）時(shí)也會(huì)出現(xiàn)問題。

在PHP腳本中我們可以使用addcslashes()函數(shù)來處理以上情況，如下實(shí)例：

<?php
    $sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
    // $sub == \%something\_
    mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");
?>