第三章數據庫及SQL · PHP安全基礎

<table width="100%" border="0" cellspacing="0" cellpadding="5" bgcolor="#649CCC"><tr valign="middle"><td align="left"> 第三章數據庫及SQL </td> <td align="right"> <a href="introduction.htm">Top</a>? <a href="new_item23.htm">Previous</a>? <a href="new_item25.htm">Next</a> </td> </tr></table> <table width="100%" border="0" cellspacing="0" cellpadding="5"><tr valign="top"><td align="left"> ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 第三章數據庫及SQL ? PHP的作用常常是溝通各種數據源及用戶的橋梁。事實上，有些人認為PHP更像是一個平臺而不是一個編程語言。基于這些原因，PHP頻繁用于與數據庫的交流。 ? PHP可以很好的勝任這個任務，其原因特別是由于它能與很多種數據庫連接。下面列舉了PHP支持的小部分數據庫：DB2ODBCSQLiteInterBaseOracleSybaseMySQLPostgreSQLDBM? ? 與任何的遠程數據存儲方式相同，數據庫本身也存在著一些風險。盡管數據庫安全不是本書討論的問題，但數據庫安全是需要時刻注意的，特別是關于如何對待從數據庫讀取作為輸入的數據的問題。 ? 正如第一章所討論的，所有輸入必需要進行過濾，同時所有的輸出必須要轉義。當處理數據庫時，意味著所有來自數據庫的數據要過濾，所有寫入數據庫的數據要進行轉義。?小提示 ? 常犯的錯誤是忘記了SELECT語句本身是向數據庫傳送的數據。盡管該語句的目的是取得數據，但語句本身則是輸出。? ? 很多PHP開發人員不會去過濾來自數據庫的數據，他們認為數據庫內保存的是已過濾的數據。雖然這種做法的安全風險是很小的，但是這不是最好的做法，同時我也不推薦這樣做。這種做法是基于對數據庫安全的絕對信任，但同時違反了深度防范的原則。如果惡意數據由于某些原因被注入了數據庫，如果你有過濾機制的話，就能發現并抓住它。請記住，冗余的安全措施是有價值的，這就是一個很好的例子。 ? 本章包括了其它幾個需要關心的主題，包括訪問權限暴露及SQL注入。SQL注入是需要特別關注的，這是因為在流行的PHP應用中頻繁發現了SQL注入漏洞。?<hr noshade="noshade" size="1"/>?</td></tr></table>