php - SQL注入如何防范?

Question

1. 昨天晚上已经11点多的时间，一个朋友突然找我说她们公司的网站的漏洞被提交到wooyun了。（然后就跟妹子大概了解了一下漏洞的情况 PS：妹子是php程序员）

2. wooyun上提交了两处漏洞,1处是SQL注入 (经过了解,她们公司的用的框架是11年的老框架,还是mysql_query()这些老的mysql函数) 另一处就是cookie的问题,妹子把用户的uid,等敏感信息都写进cookie了,2333。然后php处理业务逻辑的uid也是从cookie里面拿的,233333 (导致修改cookie后可以伪装成任意用户)

3. 我给她说了SQL注入的解决方案(第一种治标不治本的,用正则匹配SQL语句,过滤危险字符,关键字,转义符号,第二种方案,弃用mysql老函数,用PDO或者mysqli)(cookie那个地方的漏洞,我建议她把uid等敏感信息存在session里面,然后把sessionID加密后放在cookie里面)

4. 妹子最后说,她大概听懂了.改公司框架的mysql驱动是不太现实的,公司不会让她改的,那就只好用正则匹配SQL语句,过滤非法字符串了!

5. 我就去网上找了一些SQL语句过滤的函数 号称很好用的SQL过滤函数
   知乎大婶们的回答

想跟大家讨论一下 SQL注入防范的姿势 大家有没有比较好用的SQL注入 过滤SQL语句的函数,分享一下,谢谢!

Answer 1

为什么不用预处理？？？？？？？？？？
为什么不用预处理？？？？？？？？？？
为什么不用预处理？？？？？？？？？？
重要的事情说三遍！
SQL注入已经是上个世纪的事情了！
如果你不想重新编写，可以使用我简单封装的现成PHP类，请选择其中一个使用。
（我发现代码有我的项目的某些痕迹，所以删掉了无关代码）
MySQLi版：

<?php
class DB
{
    var $Sql;
    var $Fetch;
    var $Param = array();
    
    public function __construct($Sql, $Fetch, $Param = array())
    {
        $this->sql = $Sql;
        $this->fetch = $Fetch;
        $this->param = $Param;
        //数据库信息存放在配置文件里面，请自行修改成正确的路径和值
        require($_SERVER['DOCUMENT_ROOT'] . '/configs/config.inc.php');
        $this->dbhost = & $DBHost;
        $this->dbuser = & $DBUser;
        $this->dbpw = & $DBPassword;
        $this->dbname = & $DBName;
    }
    
    public function Query()
    {
        $Mysqli = new mysqli($this->dbhost, $this->dbuser, $this->dbpw, $this->dbname);
        if ($Mysqli->connect_errno)
        {
            echo '无法连接数据库';
            return false;
        }
        $Mysqli->query('SET NAMES UTF8');
        $Mysqli->begin_transaction(MYSQLI_TRANS_START_READ_ONLY);
        $Stmt = $Mysqli->stmt_init();
        $Stmt->prepare($this->sql);
        if (count($this->param) > 0)
        {
            $Type = '';
            for ($i = 0; $i < count($this->param); $i++)
            {
                if (is_double($this->param[$i]))
                {
                    $Type .= 'd';
                }
                else if (is_int($this->param[$i]))
                {
                    $Type .= 'i';
                }
                else if (is_string($this->param[$i]))
                {
                    $Type .= 's';
                }
                else
                {
                    $Type .= 'b';
                }
            }
            $RefArg = array($Type);
            for ($I = 0; $I < count($this->param); $I++)
            {
                $RefArg[] = & $this->param[$I];
            }
            call_user_func_array(array($Stmt, 'bind_param'), $RefArg);
        }
        if (!$Stmt->execute())
        {
            echo '读取数据库时发生错误：'. $Stmt->error;
            echo $this->sql;
            print_r($this->param);
            $Mysqli->rollback();            
            return false;
        }
        $Mysqli->commit();
        if (strtolower(substr($this->sql, 0, 6)) == 'select')
        {
            $this->res = $Stmt->get_result();
            $Stmt->free_result();
            return $this->GetRes();
        }
        else
        {
            $Stmt->free_result();
            return true;
        }
    }
    
    public function GetRes()
    {
        switch(strtolower($this->fetch))
        {
            case 'all':
                $row = $this->res->fetch_all();
                break;
            case 'array':
                $row = $this->res->fetch_array();
                break;
            case 'assoc':
                $row = $this->res->fetch_assoc();
                break;
            case 'field':
                $row = $this->res->fetch_field();
                break;
            case 'row':
                $row = $this->res->fetch_row();
                break;
            default:
                echo 'Please select a row return mode.';
                exit;
        }
        return $row;
    }
    
    public function NumRow()
    {
        if (isset($this->res))
        {
            return $this->res->num_rows;
        }
        else
        {
            return false;
        }
    }
}
?>

PDO_MYSQL版：

<?php
class DB
{
    var $SQL;
    var $Fetch;
    var $Param = array();
    
    public function __construct($SQL, $Fetch, $Param)
    {
        //数据库信息存放在配置文件里面，请自行修改成正确的路径和值
        require($_SERVER['DOCUMENT_ROOT'] . '/configs/config.inc.php');
        $this->DBHost = & $DBHost;
        $this->DBUser = & $DBUser;
        $this->DBPW = & $DBPassword;
        $this->DBName = & $DBName;
        $this->SQL = $SQL;
        $this->Fetch = $Fetch;
        $this->Param = $Param;
    }
    
    public function Query()
    {
        try
        {
            $Pdo = new PDO('mysql:host=' . $this->DBHost . ';dbname=' . $this->DBName, $this->DBUser, $this->DBPW);
            $Pdo->query('SET NAMES UTF8');
            $Pdo->beginTransaction();
            $Stmt = $Pdo->prepare($this->SQL);
            if (count($this->Param) > 0)
            {
                for ($I = 0; $I < count($this->Param); $I++)
                {
                    $Stmt->bindParam($I + 1, $this->Param[$I]);
                }
            }
            if (!$Stmt->execute())
            {
                echo '读取数据库时发生错误：' . $Stmt->errorinfo()[2];
                $Pdo->rollback();
                return false;
            }
            $Pdo->commit();
            if (strtolower(substr($this->SQL, 0, 6)) == 'select' || strtolower(substr($this->SQL, 0, 4)) == 'desc')
            {
                $this->Res = $Stmt;
                return $this->GetRes();
            }
            else
            {
                return true;
            }
        }
        catch (PDOException $e)
        {
            echo '无法连接数据库';
            $Pdo->rollback();
            return false;
        }
    }
    
    public function GetRes()
    {
        switch(strtolower($this->Fetch))
        {
            case 'all':
                $Row = $this->Res->fetchAll(PDO::FETCH_ASSOC);
                break;
            case 'array':
                $Row = $this->Res->fetch(PDO::FETCH_BOTH);
                break;
            case 'assoc':
            case 'field':
                $Row = $this->Res->fetch(PDO::FETCH_ASSOC);
                break;
            case 'row':
                $Row = $this->Res->fetch(PDO::FETCH_NUM);
                break;
            default:
                echo 'Please select a row return mode.';
                exit;
        }
        return $Row;
    }
    
    public function NumRow()
    {
        if (isset($this->Res))
        {
            return $this->Res->num_rows;
        }
        else
        {
            return false;
        }
    }
}
?>

使用方法：

$DB = new DB(SQL语句, 结果集方式, array(要绑定的参数);
$DB->Query();

注意！！！SQL语句用 ? 代替要查询的参数！！！SQL注入漏洞是因为SQL语句拼接了变量！！！
PS：如果不能改框架，那还是洗洗睡吧，时间只会淘汰墨守成规的人和过时的技术。
别指望正则过滤SQL语句能彻底杜绝SQL注入，PHP7放弃MySQL扩展的原因就是因为这个扩展有安全漏洞！

Answer 2

之前已经写过类似的总结就不照搬了，常用Web安全的防范建议都有（稍微有些遗漏的后续再继续补充），可参考：PHP安全编码

简单理解就是能用PDO预处理用PDO，不能用PDO就用addslashes顶上。

Answer 3

PHP 系统函数有这个 addslashes() 可以试试

Answer 4

如果不用正则过滤，可以考虑转义。

Answer 5

其实防御SQL注入的本质就是对GPC外来变量进行敏感字符进行相关的转义，或者拦截。可以在框架入口文件或路由解析类中对GPC进行预处理好后给后面的业务使用，这比较容易实现还动起来好实现。至于cookie，一改大改，用一些加密方式检验cookie吧，加密密钥可以放在session。

Answer 6

嗯，这个事情的姿势应该是这样的：

1. 外面加一些安全服务，例如加速乐之类的（我们用加速乐，响应一般多了100毫秒，偶尔有波动，安全性也只是基础吧，一些post一些xss都拦截不到）

2. 服务器装web应用防火墙软件

3. 评估时间，慢慢迁移到pdo，查询都用参数绑定（我个人觉得不是不让改，而是需要时间来安排这个）

Answer 7

由于PHP>=5.5已经废除了mysql_*，所以为了兼容性考虑应该抽空把框架重构了。

Answer 8

试试 www.oneasp.com

Answer 9

我之前用的就是addslashes()和你发的那个360防注入过滤类，目前也在改pdo了

Answer 10

mysql_real_escape_string 这个函数也可以 最好用pdo吧 现在php5.6已经废除了mysql函数连接