PHP中 简单的SQL注入分析

插入数据如下

我们分成字段为数值类型和字符串类型两种方式进行测试：

一、下面开始测试字段为数值类型时的sql注入，sql语句：

1 $id= $_GET[‘tid‘];
2 $sql = "select * from test where id = $id";

查找id为1的记录，在浏览器中输入并执行如下

可以看到，此时只查询到1条记录，查询结果上面显示的是自动拼接好的sql字符串。继续，将浏览器URL中的tid=1 换成tid=1 or 1=1测试，结果如下

此时所有的记录都被查出来了，这是针对字段为数值类型时 的sql注入方式，为了避免被注入我们可以将代码：

$id= $_GET[‘tid‘];

改成如下：

$id= $_GET[‘tid‘] + 0;

原理：当数据库中字段为数值类型时，不管你的参数多么险恶,+0后都老老实实变成数值类型。

 二、测试字段为数值类型时的sql注入，sql语句：

$name = $_GET[‘name‘];
$sql1 = "select * from test where name = ‘$name‘";

查找name为test1的记录，在浏览器中输入并执行如下：

只查到一条记录，这是正确的。现在把URL中 name=test1 换成 name=test1‘ or 1=1--‘   测试如下：

所有记录都被查出来了。从上图显示的sql语句可以看出where后面的表达式 name = ‘test1‘ or 1=1--‘ 恒为真(--将其后面的字符串都省略掉)

针对上面的sql注入 我们可以通过将浏览器中接受来的字符转义的方式避免，在php中 可以采用魔术引号的方法,将PHP.ini文件中的参数magic_quotes_gpc置为ON

例如: 浏览器中name = test1‘ or 1=1--‘,经过转义后得到的sql字符串变为：

select * from test where name = ‘test1\‘ or 1=1--\‘‘

再次查询变为：

这时查不到任何结果，字符串的引号是成对出现的，经过转义后 sql 把test\‘ or 1=1--\‘作为一个字符串,而不是像上述把 ‘test‘ 作为一个字符串。

这只是最简单的sql注入，更深的后面再研究吧

PHP中 简单的SQL注入分析

标签：