我之前发过类似的帖子,但是这次请关注以下内容:
有人告诉我一种进行SQL注入的方法是使用"1=1",这样就可以看到所有不属于他们的条目。
但是如果我构建查询语句将当前用户的user_id也选出来,这样行得通吗?
$userid = Current users stored id in database;
$postid = mysql_real_escape_string($_GET['id']);
现在让我们假设我输入了:domain.com/page.php?id='' OR '1'='1'
Select article_name from table where user_id=$userid and post_id=$postid
如果我添加了User_id限制,查询是否仍会返回所有内容?
$stmt = $pdo->prepare('SELECT article_name FROM table WHERE user_id = :userid AND post_id = :postid');
$stmt->execute(array(
':userid' => $userid,
':postid' => intval($_GET['id']) //Just to be safe
));
// You could also do this instead (thanks @Digital Precision)
//$stmt->bindValue(':postid', $_GET['id'], PDO::PARAM_INT);
//$stmt->execute(array(':userid' => $userid));
while($row = $stmt->fetch()) {
//Work with data
}
想了解更多关于PDO的内容,请参阅PHP文档。
使用mysql_real_escape_string()的问题在于,正如其名称所示,它仅转义字符串。它转义可以用于终止字符串的字符,以便攻击者无法关闭字符串并输入恶意SQL语句。
如果您固执地拒绝使用PDO,您可以使用像intval()这样的函数对任何未经过滤的整数进行处理,以确保它们只包含数字。
$post_id = intval($_GET['id']); //Now $post_id can only be a number
mysql_real_escape_string() 是用于对字符串进行消毒的。对于未包含在引号中的整数,它不能保护免受 SQL 注入攻击,因此您的观察是正确的:尽管使用了 mysql_real_escape_string(),但上述内容确实不安全。
您需要将值用引号括起来:
Select article_name from table where user_id='$userid' and post_id='$postid'
$userid和$postid是整数。VARCHAR = 字符串。而字符串可以使用 mysql_real_escape_string() 函数进行清理。 - Pekkaselect 1 + '123abc'将返回124,就像在PHP中使用echo 1 + '123abc';一样。 - Marc B不确定你所说的“我被告知一种进行SQL注入的方法是使用1=1,这样某人就可以看到所有不属于他们的条目”是什么意思。
1=1始终评估为true。我只在应用程序生成的查询具有仅带有无根where子句的条件where子句时才看到过这种情况。不确定它与保护您免受SQL注入有什么关系。
你的查询应该是这样的:
Select article_name from table where user_id=$userid and post_id=\'\' OR \'1\'=\'1\'
正如其他人在输入时提到的那样,最好引用您的值。因此,您将拥有:
Select article_name from table where user_id=$userid and post_id='\'\' OR \'1\'=\'1\''
如果没有与该ID相对应的帖子,则不返回任何内容。
因此,您的查询不会返回当前用户的每个帖子。但请记住引用您的值。
$stmt->bindValue(':userid', $userId, PDO::PARAM_INT);- Mike PurcellPDO::prepare()页面上,它说“通过消除手动引用参数的需要,有助于防止SQL注入攻击。”这表明PDO处理字符串而不是整数,正如您之前提到的。为了安全起见,我会编辑我的帖子。 - Bailey Parker