防止PHPMSSQL中的SQL注入（php mssql注入）

SQL注入一直是PHP开发者的噩梦，是攻击者利用漏洞攻击网站的有效方式之一。SQL注入攻击利用用户输入的数据构造SQL查询，获取某些未经授权的数据，删除或修改数据库中存储的信息。

攻击者可以在web应用中向数据库注入代码，如果web应用没有做好防御，攻击者就可以访问数据库里的信息和密码，对网站造成巨大损失。通常情况下，PHP开发者只要注意使用常规功能以及充分利用数据库防护功能即可获得足够的防护。

1、基本策略

针对SQL注入的最简单的防御策略是验证用户输入的数据，而不是相信用户输入的数据。PHP开发者在编写代码时应该考虑到可能会出现各种注入，对用户输入进行合理的过滤，限制用户提交的数据大小，并让PHP开发者不做任何和数据库相关的任何数据变化。

2、不使用GET提交方法

当使用GET提交方法时，数据将作为URL查询参数进行传递，所以任何人都有可能篡改URL，特别是在非安全的网络环境下，在某种程度上会造成一定的安全隐患。所以，web开发人员更建议使用POST提交来提交数据，同时应该加入客户端校验和服务器端检验，来提高网页数据安全性能。

3、使用转义函数

应该使用特定的mysql_real_espace_string()函数，它将可能包含引号和其他特殊字符的字符串转义，这有助于确保这些字符对数据库查询没有任何不良影响。

使用示例：

“`php

$SQL=”SELECT * FROM table WHERE field=’$field'”;

$field=mysql_real_escape_string($_POST[‘field’]);

$res=mysql_query($SQL);

4、定义最小权限
为了保证网站的安全性，应当分配最小权限的用户，这样攻击者将无法获取不应该访问的数据。例如，如果网站的MySQL数据库是为普通用户开发的，只有在开发的web应用中才可以执行DELETE、UPDATE和INSERT语句，以及只应在指定的字段上执行SELECT语句。
总之，PHP开发者应努力在其PHP中预防SQLinjection攻击，因此应该将其放到首位，采取以上防范措施，这样才能安全地利用PHPMSSQL建立web应用程序。