这个表单接受用户输入的用户名和密码,并将用户输入提交给名为 verify.php 的文件。
在这个文件中,PHP 处理来自登录表单的数据,如下所示:
清单 5. 不安全的 PHP 表单处理代码
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = “select count(*) as ctr from users where username=’
”.$username.”‘ and password=’”. $pw.”‘ limit 1″;
$result = MySQL_query($sql);
while ($data = mysql_fetch_object($result)){
if ($data->ctr == 1){
//they’re okay to enter The application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(“index.php”);
}else{
header(“login.php”);
}
?>
这段代码看起来没问题,对吗?世界各地成百(甚至成千)的 PHP/MySQL 站点都在使
用这样的代码。它错在哪里?好,记住 “
”
不能信任用户输入 。这里没有对来自用户的任何
信息进行转义,因此使应用程序容易受到攻击。具体来说,可能会出现任何类型的 SQL
注入攻击。例如,如果用户输入 foo 作为用户名,输入 ‘ or ’1′=’1 作为密码,那么实际上
会将以下字符串传递给 PHP,然后将查询传递给 MySQL:
<?php
$sql = “select count(*) as ctr from users where username=
’foo’ and password=” or ’1′=’1′ limit 1″;
?>
这个查询总是返回计数值 1,因此 PHP 会允许进行访问。通过在密码字符串的末尾注
入某些恶意 SQL,黑客就能装扮成合法的用户。解决这个问题的办法是,将 PHP 的内置
mysql_real_escape_string() 函数用作任何用户输入的包装器。这个函数对字符串中的字符进
行转义,使字符串不可能传递撇号等特殊字符并让 MySQL 根据特殊字符进行操作。清单
7 展示了带转义处理的代码。
清单 7 展示了带转义处理的代码
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = ”select count(*) as ctr from users where username=’”.mysql_real_
_string($username).”‘ and password=’”. mysql_real_escape_string($pw).”‘