SQL 中的安全问题——sql注入

今天我们来聊一聊SQL中的安全问题--SQL注入，相信做过开发的小伙伴对此并不陌生，先简单向大家说明下什么是SQL注入，然后再举例说明，最后讲下如何去避免这个问题。

1. 什么是SQL注入

SQL注入就是利用数据库的一些外部接口(比如我们的php操作数据库的一些代码)将非法的一些数据插入到实际的数据库操作语言(sql)当中，从而达到入侵数据库乃至操作系统的目的。

2. 为什么会有SQL注入

当然，这个问题的答案很简单，就是我们的开发人员对安全问题认识不够或者对数据没有做过滤操作产生的。

好了，理论就说到这，接下来上代码，
（1）我们先来创建一张user表

CREATE TABLE `user` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(64) NOT NULL DEFAULT '',
  `pwd` char(32) NOT NULL DEFAULT '',
  `add_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  PRIMARY KEY (`id`),
  KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8 COMMENT='用户表';

（2）接下来插入几条记录

insert into user values ('xiaoxia','123456');

（3）接下来我们的业务是验证用户(xiaoxia)登录服务器

<?php
$server = '127.0.0.1';
$dbuser = 'root';
$pwd = '123456';
$dbname = 'blog';
$con = mysqli_connect($server,$dbuser,$pwd,$dbname);
$username = isset($_GET['username'])? trim($_GET['username']):'';
$passward = isset($_GET['pwd']) ? trim($_GET['pwd']):'';
if (!$con) {
      die("连接错误: " . mysqli_connect_error());
}
$sql = "SELECT * from user WHERE username = '{$username}' AND pwd = '{$passward}'";
$result = mysqli_query($con,$sql);
$lastData = [];
if ($result && $result->num_rows > 0) {
   echo '登录成功';
} else {
 echo '登录失败';
}
$result->close();

上面这段代码是我们的业务代码,接下来我们来模拟用户登录
http://114.116.243.161/user.php?username=xiaoxia' or ' 1=1 这个链接就是我们访问的链接，暂不揭晓输出的结果，我们先来分析下。
(1) 如果我们对输入参数不做过滤的情况下，我们最终运行的sql语句是什么样的呢？

$sql = " SELECT * from user WHERE username = 'xiaoxia' or ' 1= 1' AND pwd = '' "

看到最终的sql 我们不难想到输出结果就是username=xiaoxia的所有用户，成功的避开密码的校验，那我们来看下程序运行的结果:

1.png

显然这不是我们想要的结果，说明我们的系统存在安全问题。

3. 怎么避免SQL注入

本人的实践经验总结大致有三类方法可以解决，我来向大家一一介绍下。

（1） 使用参数绑定

我们知道参数绑定时分为两个步骤的，第一步是prepare(预处理)我们的sql,然后再把输入的参数绑定到对应的位置，显然这样的话就不会导致输入的参数注入sql语句中来充当实际执行的sql。接下来我来演示下：

$sql = " SELECT * FROM user WHERE username = ? AND pwd = ?  ";
$mysqli_stmt=$con->prepare($sql);
$mysqli_stmt->bind_param('ss',$username,$pwd);
if ($mysqli_stmt->execute()) {
   $mysqli_stmt->store_result();
   if ($mysqli_stmt->num_rows > 0 ) {
       echo '登录成功';
   }
  else {
      echo '登录失败';
  }
}

同样的输入参数，我们来看下输出结果：

1.png

我们发现登录失败了，说明成功的防止了sql注入。那后面我再向大家介绍下其他的方法。

（2）使用应用程序提供的转换函数（以php为例）

(1) addslashes(); 转义特殊字符单引号、双引号、反斜线、NULL，那说到这个方法就顺便说下php.ini配置文件中magic_quotes_gpc这个参数，如果开启了将把用户提交的数据自动运行addslashes()函数,所以在使用之前我们要检查magic_quotes_gpc参数是否打开，以免造成双层转义，不过这个配置项从php5.4开始就从 PHP 中移除了，使用get_magic_quotes_gpc()这个函数始终会返回false。

(2) mysql_escape_string(); 转义字符串中的特殊字符(php4.3开始废弃了)。

(3) mysqli_real_escape_string();会被转义的字符 NUL （ASCII 0），\n，\r，\，'，" 和 Control-Z ，并考虑到链接的当前字符集，得到一个编码后的合法的SQL语句。

（4） real_escape_string() 这个方法是mysql提供的，功能类型于mysqli_real_escape_string 我们可以通过mysql数据库对象去调用这个函数。

说了这么多我们来试下这些方法的效果

$username = addslashes($username);
$pwd = addslashes($pwd);

其他的代码就不展示了，我们来看下运行结果:

1.png

发现这个方法是可以的，那同样的mysqli_real_escape_string() 这个方法也是可以的，这里就不展示了。

（3） 自定义函数

这种方法就比较灵活一点，我们可以根据实际的情况对一些特殊字符过滤或者替换等，比如：

function strFilter($str){
    if(!get_magic_quotes_gpc()) {
        $str = addcslashes($str);
    }   
    $str = str_replace("_","\_",$str);
    $str = str_replace("%","\%",$str);
    return $str;
}

上面这个方法等于是扩展了addcslashes这个函数，因为addcslashes函数本身不转义下划线_和%，通过自定义函数我们就可以转义原本不能转义的字符，我这个例子比较简单，复杂的可以写一下正则匹配，在这里就不展示了。

好了今天就写到这里。
补充：PDO扩展也是支持参数绑定的，有兴趣的小伙伴可以试一下。
思考：PDO和MysqLi的区别？