用於登錄表單的簡單sql注入解決方案？

Question

我看到幾個例子和人們用這種方式在登錄表單中查詢數據庫。 我不完全確定這是做登錄表單安全的最佳方式。

這是在PHP中查詢：

$query = "SELECT * FROM users WHERE usern = '".$_POST['username']."' AND passw = '".md5($_POST['password'])."'"; 

足夠有MD5（）上的密碼後，以避免SQL注入？ 我認爲md5函數會將所有字符和sql字符串轉換爲32個char字符串。

我可以使用哪些其他方式保護登錄表單？

Answer 1

mysql_real_escape_string($_POST['username'])等

雖然這是更好地使用mysqli推廣和使用準備好的語句。

（假設你使用MySQL）

編輯：針對下面的評論，它可能是很好用這個LIKE查詢：

addcslashes(mysql_real_escape_string($_POST['username']), '%_')

Answer 2

您必須在讓數據靠近數據庫之前對數據進行清理。最簡單的方法是使用mysql_real_escape_string($_POST['username'])，但這只是你需要做的最少的工作。

如果您使用的是像CodeIgniter這樣的框架，那麼您可以使用它們的內部功能，它可以消除任何XSS風險的$ _POST或$ _GET輸入。否則，我建議這些帖子：

• What's the best method for sanitizing user input with PHP?
• Clean & Safe string in PHP

Answer 3

您需要越獄$_POST['username']以及

和是md5將保護您免受sql注入。

在這個例子中，這樣的事情將是確定

$query = "SELECT * FROM users WHERE MD5(usern) = '".md5($_POST['username'])."' AND passw = '".md5($_POST['password'])."'"; 

Answer 4

您輕鬆構建查詢的方式允許注入的代碼段中的用戶名。您可以使用準備好的語句來避免： http://php.net/manual/en/pdo.prepared-statements.php

準備好的語句基本上會描述語句將如何構造，並在之後添加數據。這樣，用戶就不能用輸入數據改變語句的結構。

Answer 5

如果你把它進行消毒的所有帖子，並讓你安全

function clean() { 
    foreach($_POST as $key => $val) { 
     $_POST[$key] = mysql_real_escape_string($val); 
    } 
} 

你也可以用use PDO and statements變量，並PDO將自動清洗的功能。

Answer 6

<?php 

try { 
    $dbh = new PDO("mysql:host=$hostname;dbname=$db", $dbusername, $dbpassword); 

    $query = "SELECT * FROM users WHERE usern = ? AND passw = ?"; 
    $sth=$dbh->prepare($sql); 
    $sth->execute(array($_POST['username'], md5($_POST['password'])); 
    $result = $sth->fetch(); 
} 
} catch(PDOException $e) { 
    echo $e->getMessage(); 
    exit; 
} 

PDO是Best way to stop SQL Injection in PHP

Answer 7

只是一個簡單的解決方案使用了類似的用戶名和密碼字段參數，使SQL命令字符串可分離從參數發送，然後攻擊者將只能得到空白responses.When參數使用的SQL命令字符串將與參數分開並編譯。使用準備好的語句是最佳解決方案。