등록 양식에 SQL 삽입 피하기

Question

localhost에 간단한 등록 양식 (아직 테스트 중)이 있는데 SQL 인젝션으로 공격받을 수 있는지 궁금합니다.

코드 :

$name = mysql_real_escape_string($_POST['name']); 
$password = mysql_real_escape_string($_POST['password']); 
$password = md5($password); 
$email = mysql_real_escape_string($_POST['email']); 
$refId = $_GET['refid']; 
$ip = $_SERVER['REMOTE_ADDR']; 


$add = mysql_query("INSERT INTO `users` (`name`, `password`, `email`, `refId`, `ip`) 
VALUES('$name','$password','$email','$refId', '$ip')") or die(mysql_error()); 

가 안전 아니면 누군가가 (나는 방법을 알고 싶습니다) SQL 주입을 사용할 수 있습니까? 어떻게 주사를 피할 수 있습니까?

Answer 1

실제로 이것은 취약합니다. 너는 $_GET['refid']을 피하지 않았다. 예를 들어,이 URL을 가지고 :

yourpage.php?refid='%2C'')%3B%20DROP%20TABLE%20users%3B-- 

방지 SQL 주입이 용이하다. 준비된 진술과 PDO를 사용하십시오. 예를 들어 :

$query = $dbh->prepare("INSERT INTO `users`(`name`, `password`, `email`, `refId`, `ip`) 
VALUES(:name, :password, :email, :refId, :ip)"); 
$query->bindValue(':name', $_POST['name']); 
$query->bindValue(':password', md5($_POST['password'])); # Do not use MD5 for password hashing, and especially not without salt. 
$query->bindValue(':email', $_POST['email']); 
$query->bindValue(':refid', $_GET['refid']); 
$query->bindValue(':ip', $_SERVER['REMOTE_ADDR']); 
$query->execute(); 

Answer 2

당신은이 $_GET에서 잡고에도 불구하고, $refIdmysql_real_escape_string을하지 않았다. 기본적으로 다른 모든 주사 예방 조치를 취하지 않습니다. 탄젠트에서 md5-ing 전에 암호를 이스케이프하면 해시가 변경됩니다.

Answer 3

주사를 피하는 가장 좋은 방법은 Prepared Statements입니다.
준비된 진술에 대해서는 모든 DB 항목을 처리하기 위해 PDO를 사용하는 것을 선호합니다. PDO에 대한 자세한 내용은

$sql=new PDO("mysql:host=127.0.0.1;dbname=name","user","password"); 
     $user=$_POST[user]; 

     $query="select Salt,Passwd from User 
       where Name=:user"; 
     $stmt=$sql->prepare($query); 
     $stmt->bindParam(':user',$user); 
     $stmt->execute(); 
     $dr=$stmt->fetch();   
     $sql=null; 
     $password=$_POST[pass]; 
     $salt=$dr['Salt']; 

... 등

읽기 this 페이지 : 여기에 내가 몇 가지 기본 로그인 정보를 검색 할 쓴 일부 PDO 샘플 코드입니다. 여기서 각 코드 행이 무엇인지 알고 싶다면 this 답장을 읽고 다른 게시물에 답하십시오.