通过启用php.ini配置文件中的相关选项，就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。

开启magic_quote_gpc=on之后，能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中，该选项默认情况下是开启的，所以在PHP4.0及以上的版本中，就算PHP程序中的参数没有进行过滤，PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换，换句话说，输入的注入攻击代码将会全部被转换，将给攻击者带来非常大的困难。

虽然如此，攻击者仍然有机会进行SQL注入攻击。。。。。。前提是，当参数为数字型的时候，且未经过Intval()函数的处理，因为经过intval()的处理之后，所有的数据就都会强制转换成数字。

前面已经提到过，开启magic_quote_gpc=on之后，相当于使用addslshes()这个函数。但是数字型没有用到单引号，所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX()，char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串，使用十六进制表示必须在数字前加上0x。

实例演示：

假设我们知道管理员的用户名为admin，密码不知道。并且已经将magic_quote_gpc启用。

SQL语句：$sql="select * from users where username=$name and password='$pwd'";注意：变量$name没加引号

此时，在地址栏中输入username=admin%23，则合成后的sql语句为：

select * from users where username='admin' #' and password='';

这时候通过url地址栏输入的单引号(')将被加上反斜线，该sql语句将失效。

admin转换成ASCII后是char(97,100,109,105,110)

此时在地址栏中输入username=char(97,100,109,105,110)%23

SQL语句就变成了：

select * from users where username=char(97,100,109,105,110)#' and password='';

执行结果为真，就可以顺利进入后台。

对于数字型注入攻击，必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字，从而可以断绝数字型注入漏洞的产生。

比如：$id=intval($_GET[‘id']);

select * from articles where id='$id';

地址栏中输入：id=5' or 1=1%23

SQL语句将变成：select * from articles where id='5';

而不是select * from articles where id='5' or 1=1#;

总结：

对于每一个变量都记得加上单引号，比如where username='$name',

开启magic_quote_gpc并不是绝对安全的，对于数字型注入攻击，仅仅使用addslashes()函数进行转换是不够的，还需使用intval()强制将参数转换成数字

如何防止SQL注入攻击

方法一：密码比对

思路：首先通过用户输入的用户名去查询数据库，得到该用户名在数据库中对应的密码，再将从数据库中查询到的密码和用户提交过来的密码进行比对。

代码：

复制代码 代码如下:

$sql="select password from users where username='$name'";

$res=mysql_query($sql,$conn);

if ($arr=mysql_fetch_assoc($res)){//如果用户名存在

if ($arr['password']==$pwd) {//密码比对

echo "登录成功";

}else{

echo "密码输入有误";

}

}else {

echo "该用户名不存在";

}

分析：该情况下，代码健壮了不少，即使在magic_quote_gpc=Off的情况下，也能防止SQL注入攻击。因为攻击者想成功登录的话，得绕过两道坎，第一是输入的用户名要存在，这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过，但是这样子无法通过第二道坎。因为需要用户输入一个正确的密码才能通过，显然，这已经拒绝了SQL注入攻击。

方法二：使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击

思路：创建一个pdo对象，利用pdo的预处理操作可以防止SQL注入攻击

代码：

复制代码 代码如下:

$name=$_GET['username'];

$pwd=$_GET['password'];

$sql="select * from users where username=? and password=?";

//1.创建一个pdo对象

$pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");

//2.设置编码

$pdo->exec("set names 'utf8'");

//3.预处理$sql语句

$pdoStatement=$pdo->prepare($sql);

//4.把接收到的用户名和密码填入

$pdoStatement->execute(array($name,$pwd));

//5.取出结果

$res=$pdoStatement->fetch();

if(empty($res)){

echo "用户名或密码输入有误";

}else{

echo "登录成功";

}

【浅谈开启magic_quote_gpc后的sql注入攻击与防范】相关文章：

★ mysql命令提示行连接乱码的解决

★ Mysqldump备份还原数据与导入导出语句

★ MySQL 百万级分页优化(Mysql千万级快速分页)

★ mysql 动态生成测试数据

★ mysql 控制台操作

★ MySQL易学易用之MYSQL不为人知的特性

★ Can't connect to MySQL server的解决办法

★ MySQL中的运算符使用实例展示

★ 教你怎样在两台MySQL数据库间实现同步

★ MySQL 加密/压缩函数