如果通过网页需要用户输入一些数据信息,并将其插入到MySQL数据库,这是一个引入SQL注入安全问题的机会。 通常注入是在当要求用户输入时,类似他们的姓名,只是一个名字,他们给出,会在不知不觉中包含MySQL的语句会在数据库运行。永远不要信任用户提供的数据,这个过程只有在数据验证后,作为一项规则,这是通过模式匹配进行。在下面的例子中,用户名被限制在字母+数字+字符加下划线,并在8-20个字符之间的长度 - 可以根据需要修改这些规则。
if (preg_match("/^w{8,20}$/", $_GET['username'], $matches))
{
$result = mysql_query("SELECT * FROM users
WHERE username=$matches[0]");
}
else
{
echo "username not accepted";
} 若改为下面这段
// supposed input
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE username='{$name}'");
实际SQL变成 | SELECT * FROM users WHERE username=’Qadir’;DELETE FROM users;’ |
SQL执行 1-》SELECT * FROM users WHERE username='Qadir';
2-》DELETE FROM users;
3-》', 报错
3虽然报错,但是实际执行了1,2语句, 将用户表中的记录全部删除。
该函数调用从表中检索用户记录,其中名称列匹配由用户指定的名称。 在正常情况下,name将只包含字母数字字符,或可能是空格,如字符串ilia。 但在这里,通过附加一个全新的查询到$name,在调用数据库变成灾难:注入DELETE查询删除所有的用户记录。