本文转载地址:http://hi.baidu.com/cuttinger/blog/item/e9a93901934755147bec2cb0.html
1。老话题,mysql_real_escape_string+单引号,大多数情况下,防止sql注入攻击足够了。
$mysql = mysql_connect("host","user","passwort");
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
2。但是我的数据库是gbk的,我需要使用gbk去连接数据库,我使用set names gbk来告诉服务器我要如何使用编码。
$mysql = mysql_connect("host","user","passwort");
$sql = "set names gbk";
mysql_query($sql,$mysql);
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
3。但是中途使用"set names gbk" 修改了字符集,mysql_real_escape_string函数不会相应的更新字符集。因为set names gbk只是告诉了服务器我要做什么,php的mysql客户端不知道发生了什么,所以mysql_connection认为自己的字符集没有发生变化,这时候使用mysql_client_encoding获取的还是之前的编码。
$mysql = mysql_connect("host","user","passwort");
$encoding = mysql_client_encoding($mysql) ; // => latin1
$sql = "set names gbk";
mysql_query($sql,$mysql);
$encoding = mysql_client_encoding($mysql) ; // => latin1
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
4。在这种情况下,mysql_real_escape_string使用latin1来转义输入参数,但是使用gbk来查询,就存在被SQL注入攻击的风险。
$value = chr(0xbf).chr(0x27)." or col is not null -- ";
$value = mysql_real_escape_string($value,$mysql);
=> $value = chr(0xbf).chr(0x5c).chr(0x27)." or col is not null -- ";
其中,chr(0xbf).chr(0x5f)组成汉字“縗”,0x27就是单引号,被成功注入。
5。因此,需要告诉php,我修改字符集编码了。mysql_set_charset就做到了这一点。它其实更强大,把set names gbk这事一并作了。
mysql_set_charset("gbk",$mysql);
$value = chr(0xbf).chr(0x27)." or col is not null -- ";
$value = mysql_real_escape_string($value,$mysql);
=> $value =chr(0x5c).chr(0xbf).chr(0x5c).chr(0x27)." or col is not null -- ";
注意加粗的地方,也就是第一个chr(0x5c),因为0xbf不是合法的gbk字符,所以前面加了一个反斜杆将其转义。这样,0xbf就不能和0x5c组成汉字了,而是 (0x5c0xbf) (0x5c0x27), SQL注入失败!!
6。很可惜,mysql_set_charset在php5.2.3之后才出现,你必须升级你的php版本了。
同时,也需要mysql的版本在5.0.7或之上,所以也要注意。
wget && tar -xzvf && configure && make && make install
7。有时候,mysql_set_charset("gbk")失败了,返回结果为
$ret = mysql_set_charset("gbk",$mysql);
if($ret == false){
echo mysql_error();
}
=> Can't initialize character set GBK (path: /usr/local/share/mysql/charsets/)
8。悲剧阿!想办法吧。重新编译mysql,把gbk编译进去就行了
./configure --with-extra-charsets=gbk && make clean && make && make install
9。请记住,抛弃set names gbk吧,咱们用mysql_set_charset,安全,很重要。
PHP的手册上也这么讲,所以你还是别坚持了
This is the preferred way to change the charset. Using mysql_query() to execute SET NAMES .. is not recommended.
10。那么,为什么我一开始获得的client_charset是latin1而不是gbk呢?
$encoding = mysql_client_encoding($mysql) ; // => latin1
登陆数据库,察看编码
mysql> show variables like '%set%';
| character_set_client | latin1 |
| character_set_connection | latin1 |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | latin1 |
| character_set_server | latin1 |
| character_set_system | utf8 |
可以看到,character_set_client为latin1,就是它,直接决定了mysql_client_encoding的返回结果。
set names gbk的结果,是同时对该连接修改上面的character_set_client、character_set_connectio、character_set_results
mysql> set names gbk;
Query OK, 0 rows affected (0.00 sec)
mysql> show variables like '%set%';
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| auto_increment_offset | 1 |
| character_set_client | gbk |
| character_set_connection | gbk |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | gbk |
| character_set_server | latin1 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
9 rows in set (0.00 sec)
所以,我们很容易得出这个结论,只要中途没有使用set names gbk将原本非gbk的连接改成gbk的连接,mysql_real_escape_string就是安全的。如果原来也是gbk的,set names gbk没有任何效果,也不会对mysql_real_escape_string的安全造成威胁。
11。分析一下,导致mysql_real_escape_string存在风险的根源是什么呢?
产生风险的根源是单引号被注入;单引号被注入的根源是gbk中,0x27在身为单引号的同时,又是其它有效多字节文字的组成部分;而utf8 中,0x00-0x7F都不是任何其它字符的组成部分,所以不存在被注入单引号的风险;所以,将一个其它字符集的MYSQL连接 SET NAME utf8,并不会带来额外的风险。
12。结论:要避开mysql_real_escape_string可能的风险,有以下策略
1)数据库表使用的编码与数据库变量character_set_client指定的编码相同,这样不需要set names xxx来改变编码。
2)数据库表使用latin1或utf8等字符集,这样set names xxx也不会带来额外的风险。
3)当需要set names gbk时,使用mysql_set_charset来替代。
参考资料:
深入理解SET NAMES和mysql(i)_set_charset的区别
相关资料:
讲讲Mysql 中文乱码是怎么产生的以及该如何处理
分享到:
相关推荐
`mysql_set_character_set` 的关键在于,它不仅执行了`SET NAMES` SQL命令(对于MySQL 4.1及以上版本),还处理了字符集目录(`charset_dir`),以确保能找到相应的字符集定义。对于旧版本的MySQL服务器,如果版本低于...
因此,通常需要与mysql_set_charset函数一起使用,来指定正确的字符编码。 addslashes函数是PHP中的另一个函数,用于在单引号、双引号前添加反斜杠。它可以防止数据被解释为SQL语句的一部分,从而防止SQL注入攻击。...
最近公司组织了个PHP安全编程的培训, 其中涉及到一部分关于Mysql的”SET NAMES”和mysql_set_charset (mysqli_set_charset)的内容: 说到, 尽量使用mysqli_set_charset(mysqli:set_charset)而不是”SET NAMES”, 当然...
1. **客户端到连接层**:当MySQL Server接收到请求时,会将请求数据从`character_set_client`转换为`character_set_connection`。 2. **连接层到内部操作**:进行内部操作前,再将数据从`character_set_connection`...
mysql链接建立之后,通过如下方式设置编码: 复制代码 代码如下: mysql_query(“SET character_set_connection=” . $GLOBALS[‘charset’] . “,character_set_results=” . $GLOBALS[‘charset’] . “,character_...
而`mysqli_real_escape_string()`函数则用于转义字符串,防止SQL注入,同时也会考虑当前的字符集。 总的来说,了解和正确使用`mysqli_set_charset()`可以帮助开发者构建出更健壮、兼容性强的PHP应用,确保数据的...
6. **预处理语句**:预处理语句(如 `mysql_prepare()` 和 `mysql_stmt_execute()`)可以提高安全性,防止 SQL 注入攻击,并提高性能,因为服务器只需解析一次 SQL 语句。 7. **游标处理**:`mysql_data_seek()` ...
【PHP代码审计笔记——SQL注入1】主要探讨的是在PHP环境中如何防止SQL注入攻击,特别是针对MySQL数据库。SQL注入是一种常见的网络安全威胁,攻击者通过构造恶意的SQL语句,利用程序漏洞来执行非授权的操作,如获取...
10. **安全性**:在使用MySQL API 进行开发时,务必注意SQL注入攻击。应使用参数化查询或预编译语句,避免直接拼接SQL字符串。 《MySQL Reference Manual》是学习和查阅MySQL API 的权威指南,它详细解释了每个函数...
### MySQL 不能插入中文的解决办法 在使用MySQL数据库的过程中,有时会遇到无法正确插入中文字符的问题。这通常是由于字符集设置不当所导致的。本文将详细介绍如何通过修改MySQL的字符集来解决这一问题,并提供一些...
4. `mysql_charset_name()`:返回当前连接的默认字符集名称,这对于处理不同语言和编码的数据库非常重要。 5. `mysql_close()`:用于关闭与MySQL服务器的连接,释放相关资源。 6. `mysql_commit()`:提交当前的...
10. **字符集设置**:`mysql_set_charset()` 函数用于设置客户端与服务器之间的字符集,确保数据传输时的编码一致性。 在实际开发中,了解并熟练掌握这些API函数及其用法是十分重要的。MySQL API中文对照版文档(如...
CAST(character_string AS character_data_type CHARACTER SET charset_name) ``` 其中: - `character_string` 是要转换的字符串。 - `character_data_type` 是目标数据类型,例如 CHAR 或 VARCHAR。 - `charset_...
8. **编码支持**:MySQL Connector/C支持多种字符集,可以通过`set_charset_name()`函数设置服务器或客户端的字符集,确保数据正确传输和存储。 9. **性能优化**:MySQL Connector/C 6.0.2可能包含了性能优化和bug...
在MySQL中实现中文汉字转拼音的功能,主要是为了方便在数据库查询和数据分析时处理中文文本,尤其是在没有全文索引或者需要进行复杂模糊匹配时。以下是一个简单的实现方法,它利用自定义函数来完成这一任务。 首先...
if (0 == mysql_options(&mydata, MYSQL_SET_CHARSET_NAME, "gbk")) { cout << "mysql_options() succeed" ; } else { cout << "mysql_options() failed" ; return -1; } // 连接MySQL服务器 if (NULL !...