1.防止sql ?注入

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。

我們永遠不要信任用戶的輸入，我們必須認定用戶輸入的數(shù)據(jù)都是不安全的，我們都需要對用戶輸入的數(shù)據(jù)進行過濾處理

例如注冊，用戶需要填寫用戶名，密碼，等

?我們在接收這些數(shù)據(jù)的時候，先對他進行判斷，首先是前端頁面，我們可以用js 去判斷，如果在前面就不合法，那么是要重新去填寫的，全部合法之后，我們接收的信息，比如用戶名，有沒有被注冊，我們要去數(shù)據(jù)庫查詢 ，跟表單提交過的用戶名信息判斷，如果存在，那么是不讓注冊的，我們也可以用正則表達式來控制他的格式，比如說只能是中文或是英文，不能超過幾位。等

?我們還可以對表單提交的數(shù)據(jù)進行過濾處理

防止SQL注入，我們需要注意以下幾個要點：

·?1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和 雙"-"進行轉(zhuǎn)換等。

·?2.永遠不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取。

·?3.永遠不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。

·?4.不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。

·?5.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝

·?6.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用 ? ? ?MDCSOFT-IPS可以有效的防御SQL注入，XSS攻擊等

防止sql ?注入

在腳本語言，如Perl和PHP你可以對用戶輸入的數(shù)據(jù)進行轉(zhuǎn)義從而來防止SQL注入。

PHP的MySQL擴展提供了mysql_real_escape_string()函數(shù)來轉(zhuǎn)義特殊的輸入字符

<?php
    if (get_magic_quotes_gpc()) {
          $name = stripslashes($name);
    }
    $name = mysql_real_escape_string($name);
    mysql_query("SELECT * FROM users WHERE name='{$name}'");
?>

Like語句中的注入

like查詢時，如果用戶輸入的值有"_"和"%"，則會出現(xiàn)這種情況：用戶本來只是想查詢"abcd_"，查詢結(jié)果中卻有"abcd_"、"abcde"、"abcdf"等等；用戶要查詢"30%"（注：百分之三十）時也會出現(xiàn)問題。

在PHP腳本中我們可以使用addcslashes()函數(shù)來處理以上情況，如下實例：

<?php
    $sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
    // $sub == \%something\_
    mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");
?>