用于登录表单的简单sql注入解决方案？

Question

我看到几个例子和人们用这种方式在登录表单中查询数据库。 我不完全确定这是做登录表单安全的最佳方式。

这是在PHP中查询：

$query = "SELECT * FROM users WHERE usern = '".$_POST['username']."' AND passw = '".md5($_POST['password'])."'"; 

足够有MD5（）上的密码后，以避免SQL注入？ 我认为md5函数会将所有字符和sql字符串转换为32个char字符串。

我可以使用哪些其他方式保护登录表单？

Answer 1

mysql_real_escape_string($_POST['username'])等

虽然这是更好地使用mysqli推广和使用准备好的语句。

（假设你使用MySQL）

编辑：针对下面的评论，它可能是很好用这个LIKE查询：

addcslashes(mysql_real_escape_string($_POST['username']), '%_')

Answer 2

您必须在让数据靠近数据库之前对数据进行清理。最简单的方法是使用mysql_real_escape_string($_POST['username'])，但这只是你需要做的最少的工作。

如果您使用的是像CodeIgniter这样的框架，那么您可以使用它们的内部功能，它可以消除任何XSS风险的$ _POST或$ _GET输入。否则，我建议这些帖子：

• What's the best method for sanitizing user input with PHP?
• Clean & Safe string in PHP

Answer 3

您需要越狱$_POST['username']以及

和是md5将保护您免受sql注入。

在这个例子中，这样的事情将是确定

$query = "SELECT * FROM users WHERE MD5(usern) = '".md5($_POST['username'])."' AND passw = '".md5($_POST['password'])."'"; 

Answer 4

您轻松构建查询的方式允许注入的代码段中的用户名。您可以使用准备好的语句来避免： http://php.net/manual/en/pdo.prepared-statements.php

准备好的语句基本上会描述语句将如何构造，并在之后添加数据。这样，用户就不能用输入数据改变语句的结构。

Answer 5

如果你把它进行消毒的所有帖子，并让你安全

function clean() { 
    foreach($_POST as $key => $val) { 
     $_POST[$key] = mysql_real_escape_string($val); 
    } 
} 

你也可以用use PDO and statements变量，并PDO将自动清洗的功能。

Answer 6

<?php 

try { 
    $dbh = new PDO("mysql:host=$hostname;dbname=$db", $dbusername, $dbpassword); 

    $query = "SELECT * FROM users WHERE usern = ? AND passw = ?"; 
    $sth=$dbh->prepare($sql); 
    $sth->execute(array($_POST['username'], md5($_POST['password'])); 
    $result = $sth->fetch(); 
} 
} catch(PDOException $e) { 
    echo $e->getMessage(); 
    exit; 
} 

PDO是Best way to stop SQL Injection in PHP

Answer 7

只是一个简单的解决方案使用了类似的用户名和密码字段参数，使SQL命令字符串可分离从参数发送，然后攻击者将只能得到空白responses.When参数使用的SQL命令字符串将与参数分开并编译。使用准备好的语句是最佳解决方案。