我正在阅读网络安全性,一个明显的主题是SQL注入.我正在尝试建立一个基本的php页面,我可以在其中执行sql注入(它是一个本地服务器).但是,似乎我的代码(或服务器)自动转义单引号.这是一个新标准还是我的服务器上激活了一个我不知道的设置？是否需要清理输入？

这是我的服务器端代码的示例：

$foo = $_POST['foo'];
$sql = "SELECT * FROM bar WHERE foo='".$foo."'";

connectoTo("database");
query($sql);

其中connectTo()连接到数据库服务器并选择数据库,query()是执行查询时使用的常用过程.什么都没有清洁.但是,当我发送时

$_POST['foo'] = "' OR 1=1 #" 

php页面收到这个

$_POST['foo'] = "\' OR 1=1 #"

所以foo已经逃脱了？这与$_GET相同.

有什么想法吗？我们不再需要清理用户输入了吗？

干杯

埃里克

解决方法:

PHP中有一个死的“功能”会自动转义名为Magic Quotes的POST / GET数据.这个想法是为了防止常见的SQL注入类型发生.

实际上,您会得到混乱的数据,并且SQL注入仍然非常可能,具体取决于实现. PHP的开发人员很快意识到这一点,并弃用了该功能,并且不鼓励使用它.

在正确的PHP安装中,绝对应该禁用它！如果您无法访问PHP.ini来关闭magic_quotes_gpc,那么您可以将它放在代码的顶部：

if (get_magic_quotes_gpc()) {
    $process = array(&$_GET, &$_POST, &$_COOKIE, &$_REQUEST);
    while (list($key, $val) = each($process)) {
        foreach ($val as $k => $v) {
            unset($process[$key][$k]);
            if (is_array($v)) {
                $process[$key][stripslashes($k)] = $v;
                $process[] = &$process[$key][stripslashes($k)];
            } else {
                $process[$key][stripslashes($k)] = stripslashes($v);
            }
        }
    }
    unset($process);
}

摘自：http://www.php.net/manual/en/security.magicquotes.disabling.php

现在,关于你的SQL注入问题.你知道,除了引用之外,还有许多事情需要担心.您没有指定要使用的数据库,但这并不重要.避免注入问题的最佳方法是使用准备/参数化查询.

准备好的查询是使用参数发送到服务器的查询,其值稍后发送.

INSERT INTO someTable (field1, field2) VALUES (:field1, :field2);

注意：field1和：field2,因为它们是参数.当我执行此语句时,这些语句将替换为正确的值.由于服务器正在执行此操作,因此不需要转义(和/或它在后台发生,具体取决于您使用的数据库层).

在PHP中实现这一点的最简单方法是使用PDO.如何使用PDO对于这个盒子来说太长了,所以我将指出你的教程方向：

http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/