防止SQL注入攻击

Question

大家好，我正在试验，并开始创建一个网站，这将实现一个论坛。我已经开始关注可能影响网站的安全问题。例如跨站点脚本和sql注入攻击。

从研究中剥离所有的html标签将阻止XSS。这加上剥离SQL特殊字符是否足以防止sql注入攻击？

<?php
require "dbconn.php";

$mnam = strip_tags($_GET['blogentername']);
$mcom = strip_tags($_GET['blogmessage']);
$approve = 'N';
$dte = gmdate("d-M-Y H:i:s");

$mnam = mysql_real_escape_string($user);
$mcom = mysql_real_escape_string($mcom);

$query = "INSERT INTO blogentry VALUES  ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')";

$results = mysql_query($query)
           or die(mysql_error());

header('Location:messages.php?messagesent=1');

?>

感谢你抽出时间，安迪

Answer 1

对于给定的代码-是的，它是非常安全和不可破解的。

然而，你防御SQL注入的想法通常是相当错误的。

您的代码中没有“SQL特殊字符的剥离”。而且，这样的剥离根本没有意义。

说到SQL字符串，如果格式正确，它们是非常安全的。但是对于所有其他的SQL文字，你所说的“剥离”实际上不会剥离任何东西。

Answer 2

你永远不应该剥离标签。将它们原始保存在数据库中，然后在将它们输出到浏览器时使用htmlspecialchars。

Answer 3

作为最佳实践，永远不要使用字符串连接来构建SQL命令。

使用参数化查询。它们本质上要安全得多，并且可以通过数据库引擎进行优化，以便在多次执行同一类型的语句时提供更好的性能。

更多信息请参见此处的示例：How can I prevent SQL injection in PHP?