sql遇上注入式攻击该如何解决？

sql注入式攻击

要执行登录验证是sql语句：

select * from user_list where username = "user" and password = "password" ;

//用户名：" or 1 or "
select * from user_list where "username" = "" or 1 or "" and "password" = "fdfdsf" ;  //密码随便写

这种语句可以绕过登录判断条件

//用户名：user"#
select * from user_list where username = "user"#" and password = $password ;    //密码随便写

这种语句也可以绕过登录判断条件

解决办法

对所有从客户端传过来的get或post数据，都进行“字符串处理”，要处理的字符包括如下几个：

’ ” \

系统中，有现成的函数可供使用：

addslashes($str) : 将字符串$str中所有的字符，处理成适合sql语句的执行( 原理是将字符转义，’变成 \’ ; ” 变成了 \” ; \ 变成了 \\ ; )

mysql_real_escapt_string();

$pdo->quote();

//举例
$username = addslashes(I("post.username"));
$password = addslashes(I("post.password"));

建议 thinkphp框架

查询条件尽量使用数组方式，这是更为安全的方式； 如果不得已必须使用字符串查询条件，使用预处理机制; 开启数据字段类型验证，可以对数值数据类型做强制转换； 使用自动验证和自动完成机制进行针对应用的自定义过滤； 字段类型检查、自动验证和自动完成机制 如果环境允许，尽量使用PDO方式，并使用参数绑定。

where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：

$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

或者：

$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

模型的query和execute方法 同样支持预处理机制，例如：

$model->query('select * from user where id=%d and status=%d',$id,$status);

或者：

$model->query('select * from user where id=%d and status=%d',array($id,$status));