PHP - 自动SQL注入保护？

Question

我最近接管了一个PHP应用程序的维护，并且我对PHP不是很熟悉，但是我在网站上看到的一些事情让我感到紧张，因为它可能容易受到SQL注入攻击。

例如，看到这个代码登录到管理部分是如何工作的：

$password = md5(HASH_SALT . $_POST['loginPass']); 
    $query = "SELECT * FROM `administrators` WHERE `active`='1' AND `email`='{$_POST['loginEmail']}' AND `password`='{$password}'"; 
    $userInfo = db_fetch_array(db_query($query)); 

    if($userInfo['id']) { 
     $_SESSION['adminLoggedIn'] = true; 
     // user is logged in, other junk happens here, not important 

该网站的创建者作出了特别db_query方法和db_fetch_array方法，如下所示：

function db_query($qstring,$print=0)  { return @mysql(DB_NAME,$qstring); } 
function db_fetch_array($qhandle)  { return @mysql_fetch_array($qhandle); } 

现在，这让我认为我应该可以通过电子邮件地址进行某种SQL注入攻击：

' OR 'x'='x' LIMIT 1; 

和一些随机密码。 当我在命令行上使用它时，我得到一个管理用户，但是当我在应用程序中尝试它时，我得到了一个无效的用户名/密码错误，就像我应该那样。

是否有某种全局PHP配置可以阻止这些攻击？那将被配置在哪里？

这里是PHP - 版本信息：

# php --version 
PHP 5.2.12 (cli) (built: Feb 28 2010 15:59:21) 
Copyright (c) 1997-2009 The PHP Group 
Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies 
    with the ionCube PHP Loader v3.3.14, Copyright (c) 2002-2010, by ionCube Ltd., and 
    with Zend Optimizer v3.3.9, Copyright (c) 1998-2009, by Zend Technologies 

Answer 1

我的猜测是，通过应用程序的尝试被挫败magic quotes。

然而，依靠这样的做法是非常糟糕的做法，该应用程序真的应该有更多的自己的验证和逃避。

Answer 2

你可以在这个问题中做的所有事情是，你必须有一个很好的数据验证，并且对于每个非安全字符'你必须在它之前加上反斜杠'，并且阻止获得/ *（this使用MySQL的评论在SQL注入征求意见的下一个SQL statments注射后。

Answer 3

如果你回声出$ _ POST [“表示loginEmail”]您的服务器上，并尝试你很可能会看到magic_quotes的是打开了攻击。

如果它被打开，它将看起来像\'OR \'x \'= \'x

您应该使用PDO类（http://www.php.net/manual/en/pdo.prepare.php）在你所有的SQL查询上。

Answer 4

你在你试图确定一个评论，如果魔术引号是启用提到：

<?php get_magic_quotes_gpc(); ?> 

你可能打算这样做，而不是：

<?php echo get_magic_quotes_gpc(); ?> 

最有可能的情况似乎确实像其他人所说的那样，魔术引号被打开。