在注册表格中避免SQL注入php

Question

我在本地主机上有一个简单的注册表单（仍在测试），我想知道它是否可以被SQL注入攻击？

代码：

$name = mysql_real_escape_string($_POST['name']); 
$password = mysql_real_escape_string($_POST['password']); 
$password = md5($password); 
$email = mysql_real_escape_string($_POST['email']); 
$refId = $_GET['refid']; 
$ip = $_SERVER['REMOTE_ADDR']; 


$add = mysql_query("INSERT INTO `users` (`name`, `password`, `email`, `refId`, `ip`) 
VALUES('$name','$password','$email','$refId', '$ip')") or die(mysql_error()); 

那是安全的，也可以使用别人SQL注入（我想知道怎么样）？我怎样才能避免注射？

Answer 1

确实很脆弱;你还没有逃脱$_GET['refid']。以此URL为例：

yourpage.php?refid='%2C'')%3B%20DROP%20TABLE%20users%3B-- 

避免SQL注入很容易。使用准备好的语句和PDO。例如：

$query = $dbh->prepare("INSERT INTO `users`(`name`, `password`, `email`, `refId`, `ip`) 
VALUES(:name, :password, :email, :refId, :ip)"); 
$query->bindValue(':name', $_POST['name']); 
$query->bindValue(':password', md5($_POST['password'])); # Do not use MD5 for password hashing, and especially not without salt. 
$query->bindValue(':email', $_POST['email']); 
$query->bindValue(':refid', $_GET['refid']); 
$query->bindValue(':ip', $_SERVER['REMOTE_ADDR']); 
$query->execute(); 

Answer 2

你没有mysql_real_escape_string的$refId，尽管这是一个从$_GET抓起。这基本上使所有其他注射预防措施都没有意义。在切线上，如果在md5-ing之前转义密码串，它会更改散列值。

Answer 3

避免注射的最佳方法是使用Prepared Statements。
对于准备好的语句，我更喜欢使用PDO来处理我所有的数据库内容。这里是一些PDO示例代码我写的检索一些基本的登录信息：

$sql=new PDO("mysql:host=127.0.0.1;dbname=name","user","password"); 
     $user=$_POST[user]; 

     $query="select Salt,Passwd from User 
       where Name=:user"; 
     $stmt=$sql->prepare($query); 
     $stmt->bindParam(':user',$user); 
     $stmt->execute(); 
     $dr=$stmt->fetch();   
     $sql=null; 
     $password=$_POST[pass]; 
     $salt=$dr['Salt']; 

...等

阅读this对PDO页面了解更多信息。如果你想知道每行代码在做什么，请阅读this我给另一篇文章的答案。