1) SQL注入攻击(SQLInjection)
攻击方法:
攻击者在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
防范方法:
1. 检查变量数据类型和格式,过滤特殊语句
和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。
2. 参数绑定
使用预编译手段,绑定参数是最好的防SQL注入的方法。目前许多数据访问层框架,如Hibernate, TP, yii 等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL测参数,而不是SQL命令被执行。
注:
PDO
解释
PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。
pdo的处理方法是在prepare函数调用时,将预处理好的sql模板(包含占位符)通过mysql协议传递给mysqlserver,告诉mysql server模板的结构以及语义。当调用execute时,将两个参数传递给mysql server。由mysql server完成变量的转移处理。将sql模板和变量分两次传递,即解决了sql注入问题。
$pdo = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");//预处理
$stmt->bindParam(1, $name);//参数绑定
$stmt->bindParam(2, $value);
// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();
2) 跨网站脚本攻击(CrossSite Scripting, XSS)
</