1.防止sql ?注入

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

我們永遠(yuǎn)不要信任用戶的輸入，我們必須認(rèn)定用戶輸入的數(shù)據(jù)都是不安全的，我們都需要對用戶輸入的數(shù)據(jù)進(jìn)行過濾處理

例如注冊，用戶需要填寫用戶名，密碼，等

?我們在接收這些數(shù)據(jù)的時候，先對他進(jìn)行判斷，首先是前端頁面，我們可以用js 去判斷，如果在前面就不合法，那么是要重新去填寫的，全部合法之后，我們接收的信息，比如用戶名，有沒有被注冊，我們要去數(shù)據(jù)庫查詢 ，跟表單提交過的用戶名信息判斷，如果存在，那么是不讓注冊的，我們也可以用正則表達(dá)式來控制他的格式，比如說只能是中文或是英文，不能超過幾位。等

?我們還可以對表單提交的數(shù)據(jù)進(jìn)行過濾處理

防止SQL注入，我們需要注意以下幾個要點(diǎn)：

·?1.永遠(yuǎn)不要信任用戶的輸入。對用戶的輸入進(jìn)行校驗(yàn)，可以通過正則表達(dá)式，或限制長度；對單引號和 雙"-"進(jìn)行轉(zhuǎn)換等。

·?2.永遠(yuǎn)不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取。

·?3.永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫連接。

·?4.不要把機(jī)密信息直接存放，加密或者h(yuǎn)ash掉密碼和敏感的信息。

·?5.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進(jìn)行包裝

·?6.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用 ? ? ?MDCSOFT-IPS可以有效的防御SQL注入，XSS攻擊等

防止sql ?注入

在腳本語言，如Perl和PHP你可以對用戶輸入的數(shù)據(jù)進(jìn)行轉(zhuǎn)義從而來防止SQL注入。

PHP的MySQL擴(kuò)展提供了mysql_real_escape_string()函數(shù)來轉(zhuǎn)義特殊的輸入字符

<?php
    if (get_magic_quotes_gpc()) {
          $name = stripslashes($name);
    }
    $name = mysql_real_escape_string($name);
    mysql_query("SELECT * FROM users WHERE name='{$name}'");
?>

Like語句中的注入

like查詢時，如果用戶輸入的值有"_"和"%"，則會出現(xiàn)這種情況：用戶本來只是想查詢"abcd_"，查詢結(jié)果中卻有"abcd_"、"abcde"、"abcdf"等等；用戶要查詢"30%"（注：百分之三十）時也會出現(xiàn)問題。

在PHP腳本中我們可以使用addcslashes()函數(shù)來處理以上情況，如下實(shí)例：

<?php
    $sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
    // $sub == \%something\_
    mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");
?>