準備語句時防止SQL注入的最佳方法是不可能的

Question

我必須在一個主要安全問題的舊站點上工作：SQL注入非常容易執行。

很顯然，防止這種攻擊的最好方法就是逃避查詢中使用的內容（使用PDO編寫語句，使用MySql編寫mysql_real_escape_string等），但我們無法快速完成這些工作：整個站點都是程序化的PHP（沒有課程），查詢到處都是「準備好」的，每天有數百頁和數千用戶，而且新版本將盡快出現。

因此，從今天上午開始，每個請求都會調用以下函數，根據關鍵字檢測可疑的POST或GET參數。

const SQLI_UNSAFE = 3; 
const SQLI_WARNING = 2; 
const SQLI_SAFE = 1; 
const SQLI_MAIL_DEST = 'monmail@mondest.com'; 

function sqlicheck() { 

    $params = array_merge($_GET, $_POST); 
    $is_warning = false; 

    foreach($params as $key=>$param) { 
     switch(getSafeLevel($param)) { 
      case SQLI_SAFE: 
       break; 
      case SQLI_WARNING: 
       $is_warning = true; 
       break; 
      case SQLI_UNSAFE: 
       mail(SQLI_MAIL_DEST, 'SQL INJECTION ATTACK', print_r($_REQUEST, true).' '.print_r($_SERVER, true));  
       header('Location: http://monsite/404.php'); 
       exit();  
      } 

    } 

    if($is_warning === true) { 
     mail(SQLI_MAIL_DEST, 'SQL INJECTION WARNING', print_r($_REQUEST, true).print_r($_SERVER, true)); 
    } 
} 
function getSafeLevel($param) { 

    $error_words = array('select%20','drop%20','delete%20','truncate%20','insert%20','%20tbclient','select ','drop ','delete ','truncate ','insert ',); 
    $warning_words = array('%20','select','drop','delete','truncate', ';','union'); 


    foreach($error_words as $error_word) { 
     if(stripos($param, $error_word) !== false) return SQLI_UNSAFE; 
    } 
    foreach($warning_words as $warning_word) { 
     if(stripos($param, $warning_word) !== false) return SQLI_WARNING; 
    } 

    return SQLI_SAFE; 
} 

這似乎可以檢測到某種類型的攻擊，但它顯然非常基本。任何想法來改善它？任何重大問題？

Answer 1

首先，確保執行查詢的數據庫用戶只有選擇，更新和刪除權限。如果用戶不能執行drop操作，則不會發生這種情況（這假定用戶永遠不需要創建或刪除表，但是如果他們這樣做，則可以創建表級權限來保護大表）。

其次，你的腳本只會告訴你人們在用什麼;它不會對可能的查詢進行全面的檢查;如果您網站的某個部分使用得不多，您將無法收到任何郵件。更好的是用搜索工具梳理代碼。

之後，您必須開始修改代碼並進行轉義和驗證，這只是需要一段時間。

Answer 2

爲什麼不使用PHP的real_escape_string()htmlentities()的stripslashes和過濾器類和日誌的SQL查詢，以便你可以看到什麼人送你，使用SHA256一些MD5，你會沒事的另一件事是迅速採取行動只是發送登錄以二進制格式的數據