在註冊表格中避免SQL注入php

Question

我在本地主機上有一個簡單的註冊表單（仍在測試），我想知道它是否可以被SQL注入攻擊？

代碼：

$name = mysql_real_escape_string($_POST['name']); 
$password = mysql_real_escape_string($_POST['password']); 
$password = md5($password); 
$email = mysql_real_escape_string($_POST['email']); 
$refId = $_GET['refid']; 
$ip = $_SERVER['REMOTE_ADDR']; 


$add = mysql_query("INSERT INTO `users` (`name`, `password`, `email`, `refId`, `ip`) 
VALUES('$name','$password','$email','$refId', '$ip')") or die(mysql_error()); 

那是安全的，也可以使用別人SQL注入（我想知道怎麼樣）？我怎樣才能避免注射？

Answer 1

確實很脆弱;你還沒有逃脫$_GET['refid']。以此URL爲例：

yourpage.php?refid='%2C'')%3B%20DROP%20TABLE%20users%3B-- 

避免SQL注入很容易。使用準備好的語句和PDO。例如：

$query = $dbh->prepare("INSERT INTO `users`(`name`, `password`, `email`, `refId`, `ip`) 
VALUES(:name, :password, :email, :refId, :ip)"); 
$query->bindValue(':name', $_POST['name']); 
$query->bindValue(':password', md5($_POST['password'])); # Do not use MD5 for password hashing, and especially not without salt. 
$query->bindValue(':email', $_POST['email']); 
$query->bindValue(':refid', $_GET['refid']); 
$query->bindValue(':ip', $_SERVER['REMOTE_ADDR']); 
$query->execute(); 

Answer 2

你沒有mysql_real_escape_string的$refId，儘管這是一個從$_GET抓起。這基本上使所有其他注射預防措施都沒有意義。在切線上，如果在md5-ing之前轉義密碼串，它會更改散列值。

Answer 3

避免注射的最佳方法是使用Prepared Statements。
對於準備好的語句，我更喜歡使用PDO來處理我所有的數據庫內容。這裏是一些PDO示例代碼我寫的檢索一些基本的登錄信息：

$sql=new PDO("mysql:host=127.0.0.1;dbname=name","user","password"); 
     $user=$_POST[user]; 

     $query="select Salt,Passwd from User 
       where Name=:user"; 
     $stmt=$sql->prepare($query); 
     $stmt->bindParam(':user',$user); 
     $stmt->execute(); 
     $dr=$stmt->fetch();   
     $sql=null; 
     $password=$_POST[pass]; 
     $salt=$dr['Salt']; 

...等

閱讀this對PDO頁面瞭解更多信息。如果你想知道每行代碼在做什麼，請閱讀this我給另一篇文章的答案。