本文转载地址:http://hi.baidu.com/cuttinger/blog/item/e9a93901934755147bec2cb0.html
1。老话题,mysql_real_escape_string+单引号,大多数情况下,防止sql注入攻击足够了。
$mysql = mysql_connect("host","user","passwort");
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
2。但是我的数据库是gbk的,我需要使用gbk去连接数据库,我使用set names gbk来告诉服务器我要如何使用编码。
$mysql = mysql_connect("host","user","passwort");
$sql = "set names gbk";
mysql_query($sql,$mysql);
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
3。但是中途使用"set names gbk" 修改了字符集,mysql_real_escape_string函数不会相应的更新字符集。因为set names gbk只是告诉了服务器我要做什么,php的mysql客户端不知道发生了什么,所以mysql_connection认为自己的字符集没有发生变化,这时候使用mysql_client_encoding获取的还是之前的编码。
$mysql = mysql_connect("host","user","passwort");
$encoding = mysql_client_encoding($mysql) ; // => latin1
$sql = "set names gbk";
mysql_query($sql,$mysql);
$encoding = mysql_client_encoding($mysql) ; // => latin1
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
4。在这种情况下,mysql_real_escape_string使用latin1来转义输入参数,但是使用gbk来查询,就存在被SQL注入攻击的风险。
$value = chr(0xbf).chr(0x27)." or col is not null -- ";
$value = mysql_real_escape_string($value,$mysql);
=> $value = chr(0xbf).chr(0x5c).chr(0x27)." or col is not null -- ";
其中,chr(0xbf).chr(0x5f)组成汉字“縗”,0x27就是单引号,被成功注入。
5。因此,需要告诉php,我修改字符集编码了。mysql_set_charset就做到了这一点。它其实更强大,把set names gbk这事一并作了。
mysql_set_charset("gbk",$mysql);
$value = chr(0xbf).chr(0x27)." or col is not null -- ";
$value = mysql_real_escape_string($value,$mysql);
=> $value =chr(0x5c).chr(0xbf).chr(0x5c).chr(0x27)." or col is not null -- ";
注意加粗的地方,也就是第一个chr(0x5c),因为0xbf不是合法的gbk字符,所以前面加了一个反斜杆将其转义。这样,0xbf就不能和0x5c组成汉字了,而是 (0x5c0xbf) (0x5c0x27), SQL注入失败!!
6。很可惜,mysql_set_charset在php5.2.3之后才出现,你必须升级你的php版本了。
同时,也需要mysql的版本在5.0.7或之上,所以也要注意。
wget && tar -xzvf && configure && make && make install
7。有时候,mysql_set_charset("gbk")失败了,返回结果为
$ret = mysql_set_charset("gbk",$mysql);
if($ret == false){
echo mysql_error();
}
=> Can't initialize character set GBK (path: /usr/local/share/mysql/charsets/)
8。悲剧阿!想办法吧。重新编译mysql,把gbk编译进去就行了
./configure --with-extra-charsets=gbk && make clean && make && make install
9。请记住,抛弃set names gbk吧,咱们用mysql_set_charset,安全,很重要。
PHP的手册上也这么讲,所以你还是别坚持了
This is the preferred way to change the charset. Using mysql_query() to execute SET NAMES .. is not recommended.
10。那么,为什么我一开始获得的client_charset是latin1而不是gbk呢?
$encoding = mysql_client_encoding($mysql) ; // => latin1
登陆数据库,察看编码
mysql> show variables like '%set%';
| character_set_client | latin1 |
| character_set_connection | latin1 |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | latin1 |
| character_set_server | latin1 |
| character_set_system | utf8 |
可以看到,character_set_client为latin1,就是它,直接决定了mysql_client_encoding的返回结果。
set names gbk的结果,是同时对该连接修改上面的character_set_client、character_set_connectio、character_set_results
mysql> set names gbk;
Query OK, 0 rows affected (0.00 sec)
mysql> show variables like '%set%';
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| auto_increment_offset | 1 |
| character_set_client | gbk |
| character_set_connection | gbk |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | gbk |
| character_set_server | latin1 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
9 rows in set (0.00 sec)
所以,我们很容易得出这个结论,只要中途没有使用set names gbk将原本非gbk的连接改成gbk的连接,mysql_real_escape_string就是安全的。如果原来也是gbk的,set names gbk没有任何效果,也不会对mysql_real_escape_string的安全造成威胁。
11。分析一下,导致mysql_real_escape_string存在风险的根源是什么呢?
产生风险的根源是单引号被注入;单引号被注入的根源是gbk中,0x27在身为单引号的同时,又是其它有效多字节文字的组成部分;而utf8 中,0x00-0x7F都不是任何其它字符的组成部分,所以不存在被注入单引号的风险;所以,将一个其它字符集的MYSQL连接 SET NAME utf8,并不会带来额外的风险。
12。结论:要避开mysql_real_escape_string可能的风险,有以下策略
1)数据库表使用的编码与数据库变量character_set_client指定的编码相同,这样不需要set names xxx来改变编码。
2)数据库表使用latin1或utf8等字符集,这样set names xxx也不会带来额外的风险。
3)当需要set names gbk时,使用mysql_set_charset来替代。
参考资料:
深入理解SET NAMES和mysql(i)_set_charset的区别
相关资料:
讲讲Mysql 中文乱码是怎么产生的以及该如何处理
分享到:
相关推荐
最近公司组织了个PHP安全编程的培训, 其中涉及到一部分关于Mysql的 SET NAMES 和mysql_set_charset (mysqli_set_charset)的内容
最近公司组织了个PHP安全编程的培训, 其中涉及到一部分关于Mysql的”SET NAMES”和mysql_set_charset (mysqli_set_charset)的内容: 说到, 尽量使用mysqli_set_charset(mysqli:set_charset)而不是”SET NAMES”, 当然...
mysql链接建立之后,通过如下方式设置编码: 复制代码 代码如下: mysql_query(“SET character_set_connection=” . $GLOBALS[‘charset’] . “,character_set_results=” . $GLOBALS[‘charset’] . “,character_...
PHP mysqli_set_charset()函数 设置默认客户端字符集: <?...$con=mysqli_connect("localhost","root","123456","codingdict"); if (mysqli_connect_errno($con)) ...mysqli_set_charset($con,"utf8"); mysqli_clos
在防止sql注入这些细节出现问题的一般是那些大意的程序员或者是新手程序员,他们由于没有对用户提交过来的数据进行一些必要的过滤,从而导致了给大家测试...mysql_set_charset('utf8'); $sql = 'select * from test wh
mysql_set_charset()。 这个函数是这样用的: mysql_set_charset(‘utf8’, $link); 成功返回 TRUE,失败返回 FALSE。 就这么简单。 下面是PHP手册原文 This is the preferred way to change the charset. Using ...
复制代码 代码如下:#!...?... //MySQL$mysql_dbname = “db”;$mysql_user = “user”;$mysql_pass = “pass”...system(“mysqldump –default-character-set=$mysql_charset –opt -u$mysql_user -p$mysql_pass $mysql_dbna
复制代码 代码如下:<?...charset=utf-8”); //数据库连接 $conn = mysql_connect(“localhost”, “root”... mysql_query(“set names utf8”); //查询共有多少行数据 $sql1 = “select count(*) from user”;
SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for area -- ---------------------------- DROP TABLE IF EXISTS `area`; CREATE TABLE `area` ( `id` bigint(20) NOT NULL AUTO...
charset_dictpath 8.3. indexer 程序配置选项 8.3.1. mem_limit 8.3.2. max_iops 8.3.3. max_iosize 8.4. searchd 程序配置选项 8.4.1. address 8.4.2. port 8.4.3. log 8.4.4. query_log 8.4.5. read_timeout ...
小编今天在写一个 将一个数据库的表数据 导入到 另一个数据库的表的时候 我是这么写的 代码如下:<?...charset=utf-8”); $conn = mysql_connect...$sql = mysql_query(“select content,partid from phpcms_c_disease
50137 Source Host : localhost:3306 Source Database : chronic manage Target Server Type : MYSQL Target Server Version : 50137 File Encoding : 65001 Date: 2012-04-17 19:50:08 */ SET FOREIGN_KEY_CHECKS=...
Sphinx 是一个在GPLv2 下发布的一个全文检索引擎,商业授权(例如, 嵌入到其他... charset_dictpath 8.3. indexer 程序配置选项 8.3.1. mem_limit 8.3.2. max_iops 8.3.3. max_iosize 8.4. searchd 程序配置选项
[[default] character set 字符集名] [[default] collate 校对规则名] 说明: []为可选项 其他关键词不区分大小写 显示字符集语法: show charset; ;MySQL命令行登录和显示数据库 MySQL数据库的创建(语句模式);...
$this->result=mysql_query($this->sql,$this->conn); if (!$this->result) $this->show_error('SQL语句有误',true); return $this->result; } /***********************************************************...
40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */; /*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */; CREATE DATABASE /*!32312 IF NOT EXISTS*/`test` /*!40100 DEFAULT ...
Mysql_set_charset('gbk','$conn') Left ?Id=1 and 1=left(database(),1)=5--+ Substr ?Id=1 and ascii(substr(database(),1,1))>90--+ Regexp ?id=1' and 1=(select 1 from information_schema.tables...
行业类型整理,分层级,sql文件直接导入Mysql即可。 部分内容展示: SET FOREIGN_KEY_CHECKS=0; DROP TABLE IF EXISTS `industry`; CREATE TABLE `industry` ( `code` varchar(255) COLLATE utf8_bin DEFAULT NULL...
全国地区码表,数据来源:全国行政区划信息查询平台-2019,整合成现成的mysql脚本,开箱即用: CREATE TABLE `core_area` ( `code` varchar(12) NOT NULL DEFAULT '' COMMENT '编码', `c_name` varchar(64) ...
手把手教你实现MYSQL的备份还原示例代码用我比较熟悉的PHP,当然你看完并理解了其中的思路,相信你也可以快速地用你熟悉的语言自己写出来。一、新建dbBackup类,设置默认参数... //数据库连接编码:mysql_set_charset