SQL 注入

如果通过网页获取用户输入并将其插入到 SQL 数据库中，则有可能对称为SQL 注入的安全问题比较敏感。本章将教你如何防止这种情况发生，并帮助你保护服务器端脚本（如 PERL 脚本）中的脚本和 SQL 语句。

注入通常发生在用户输入时，例如要求输入姓名，而用户输入的不是姓名，他们会输入一条 SQL 语句，那么你将在不知不觉中在数据库上运行该SQL语句。永远不要相信用户提供的数据，只有在验证后才处理这些数据；通常，这是通过模式匹配完成的。

在下面的示例中，名称被限制为字母数字字符加下划线和 8 到 20 个字符之间的长度（可以根据需要修改这些规则）。

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)) {
   $result = mysql_query("SELECT * FROM CUSTOMERS 
      WHERE name = $matches[0]");
} else {
   echo "user name not accepted";
}

为了演示这个问题，请看以下内容

$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");

该函数调用应该从 CUSTOMERS 表中检索一条记录，其中名称列与用户指定的名称相匹配。在正常情况下，$name将只包含字母数字字符和空格，例如字符串 'ilia'。但是在这里，通过向 $name 附加一个全新的查询，此时对数据库的调用就变成了一场灾难；注入的 DELETE 语句会从 CUSTOMERS 表中删除所有记录。

幸运的是，如果你使用 MySQL，mysql_query()函数不允许查询堆叠或在单个函数调用中执行多个 SQL 查询。否则，调用将失败。

但是，其他 PHP 数据库扩展，例如SQLite和PostgreSQL，可以执行上述的SQL语句，执行一个字符串中提供的所有SQL语句，这会造成严重的安全问题。

防止 SQL 注入

我们可以在 PERL 和 PHP 等脚本语言中巧妙地处理所有转义字符。PHP 的 MySQL 扩展提供了函数mysql_real_escape_string()来转义 MySQL 特有的输入字符。

if (get_magic_quotes_gpc()) {
   $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");

LIKE 的问题

为了解决 LIKE 的问题，自定义转义机制必须将用户提供的 % 和 _ 字符转换为文字。可以使用addcslashes()函数，该函数可让你指定要转义的字符范围。

$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages 
   WHERE subject LIKE '{$sub}%'");