PHP防范SQL注入的具体方法详解(测试通过)

更新时间：2014年05月09日 15:36:36 作者：

PHP防范SQL注入是一个非常重要的安全手段。相信大家对这一安全防范方法还不是很了解，希望通过本文介绍的内容大家能够充分掌握这一知识点

一个优秀的PHP程序员除了要能顺利的编写代码，还需要具备使程序处于安全环境下的能力。今天我们要向大家讲解的是有关PHP防范SQL注入的相关方法。

说到网站安全就不得不提到SQL注入（SQL Injection），如果你用过ASP，对SQL注入一定有比较深的理解，PHP的安全性相对较高，这是因为MYSQL4以下的版本不支持子语句，而且当php.ini里的 magic_quotes_gpc 为On 时。

提交的变量中所有的 ' (单引号), " (双引号), \ (反斜线) and 空字符会自动转为含有反斜线的转义字符，给SQL注入带来不少的麻烦。

请看清楚：“麻烦”而已~这并不意味着PHP防范SQL注入，书中就讲到了利用改变注入语句的编码来绕过转义的方法，比如将SQL语句转成ASCII编码（类似：char(100,58,92,108,111,99,97,108,104,111,115,116…)这样的格式），或者转成16进制编码，甚至还有其他形式的编码，这样以来，转义过滤便被绕过去了，那么怎样防范呢：

a．打开magic_quotes_gpc或使用addslashes()函数

在新版本的PHP中，就算magic_quotes_gpc打开了，再使用addslashes()函数，也不会有冲突，但是为了更好的实现版本兼容，建议在使用转移函数前先检测magic_quotes_gpc状态，或者直接关掉，代码如下：

PHP防范SQL注入的代码

复制代码代码如下:

// 去除转义字符   
function stripslashes_array($array) {   
if (is_array($array)) {   
foreach ($array as $k => $v) {   
$array[$k] = stripslashes_array($v);   
}   
} else if (is_string($array)) {   
$array = stripslashes($array);   
}   
return $array;   
}   
@set_magic_quotes_runtime(0);   
// 判断 magic_quotes_gpc 状态   
if (@get_magic_quotes_gpc()) {   
$_GET = stripslashes_array($_GET);   
$_POST = stripslashes_array($_POST);   
$_COOKIE = stripslashes_array($_COOKIE);   
} 

去除magic_quotes_gpc的转义之后再使用addslashes函数，代码如下：

PHP防范SQL注入的代码

复制代码代码如下:

$keywords = addslashes($keywords); 
$keywords = str_replace("_","\_",$keywords);//转义掉”_” 
$keywords = str_replace("%","\%",$keywords);//转义掉”%”

后两个str_replace替换转义目的是防止黑客转换SQL编码进行攻击。

b．强制字符格式（类型）

在很多时候我们要用到类似xxx.php?id=xxx这样的URL，一般来说$id都是整型变量，为了防范攻击者把$id篡改成攻击语句，我们要尽量强制变量，代码如下：

PHP防范SQL注入的代码

$id=intval($_GET['id']);

当然，还有其他的变量类型，如果有必要的话尽量强制一下格式。

c． SQL语句中包含变量加引号

这一点儿很简单，但也容易养成习惯，先来看看这两条SQL语句：

SQL代码

复制代码代码如下:

SELECT * FROM article WHERE articleid='$id' 
SELECT * FROM article WHERE articleid=$id

两种写法在各种程序中都很普遍，但安全性是不同的，第一句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行，而第二句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，因此，我们要养成给SQL语句中变量加引号的习惯。

d.URL伪静态化

URL伪静态化也就是URL重写技术，像Discuz！一样，将所有的URL都rewrite成类似xxx-xxx-x.html格式，既有利于SEO，又达到了一定的安全性，也不失为一个好办法。但要想实现PHP防范SQL注入，前提是你得有一定的“正则”基础。

您可能感兴趣的文章:

深入理解PHP之OpCode原理详解
这篇文章主要介绍了深入理解PHP之OpCode原理,较为详细的分析了php程序的相关编译机制与运行原理,需要的朋友可以参考下
2016-06-06
实例讲解通过PHP创建数据库
在本篇文章里小编给大家分享了关于如何通过PHP创建数据库的知识点内容，有需要的朋友们学习下。
2019-01-01
PHP合并discuz用户脚本的方法
这篇文章主要介绍了PHP合并discuz用户脚本的方法,分析了合并discuz用户数据库的方法与相关实现技巧,具有一定参考借鉴价值,需要的朋友可以参考下
2015-08-08
lnmp安装多版本PHP共存的方法详解
这篇文章主要介绍了Lnmp环境中设置多版本PHP共存的技巧,依靠php-fpm工具来进行管理,需要的朋友可以参考下
2018-08-08
PHP技术开发技巧分享
本文档的阅读对象是有一定经验的PHP程序员，文档中将介绍在PHP开发中的一些开发技巧，希望能对读者有一定的启发。
2010-03-03
PHP 极验验证码实例讲解
这篇文章主要介绍了PHP 极验验证码实例讲解的相关资料,需要的朋友可以参考下
2016-09-09
火车头采集器3.0采集图文教程
今天要给大家做示例的网站是163的娱乐频道这个应该是个比较通用和实用的规则，下面开始。
2007-03-03
php下载文件源代码(强制任意文件格式下载)
有时候我们需要用php下载一些文件，一般就是为了隐藏文件的真实下载地址才需要这样，否则这样会增加服务器负担，不如直接提供软件的地址
2014-05-05
奇怪的PHP引用效率问题分析
最近写了一个小的php程序处理日志中的ip，需要将每个日志中出现的ip都接上一个出现时间戳的链表，于是按行遍历log日志并写了一个update_timequeue的函数来插入时间戳节点
2012-03-03
PHP使用HTML5 FileApi实现Ajax上传文件功能示例
这篇文章主要介绍了PHP使用HTML5 FileApi实现Ajax上传文件功能,结合实例形式分析了HTML5 FileApi的功能、原理及php使用HTML5 FileApi实现ajax上传的相关操作技巧,需要的朋友可以参考下
2019-07-07