6.1.7. Клиент, Программирующий Направляющие линии Безопасности

Приложения, что MySQL доступа не должен доверять никаким данным, вводимым пользователями, которые могут попытаться обмануть Ваш код, входя особенный или вышли из символьных последовательностей в Веб-формах, URL, или безотносительно приложения, которое Вы создали. Убедитесь, что Ваше приложение остается безопасным, если пользователь вводит что-то как"; DROP DATABASE mysql;". Это - экстремальный пример, но большие утечки безопасности и потеря данных могли бы произойти в результате хакеров, использующих подобные методы, если Вы не готовитесь к ним.

Частая ошибка состоит в том, чтобы защитить только строковые значения данных. Не забудьте проверять числовые данные также. Если приложение генерирует запрос такой как SELECT * FROM table WHERE ID=234 когда пользователь вводит значение 234, пользователь может ввести значение 234 OR 1=1 заставить приложение генерировать запрос SELECT * FROM table WHERE ID=234 OR 1=1. В результате сервер получает каждую строку в таблице. Это представляет каждую строку и вызывает чрезмерную загрузку сервера. Самый простой способ защитить от этого типа атаки состоит в том, чтобы использовать единственные кавычки вокруг числовых констант: SELECT * FROM table WHERE ID='234'. Если пользователь вводит дополнительную информацию, все это становится частью строки. В числовом контексте MySQL автоматически преобразовывает эту строку в число и разделяет любые запаздывающие нечисловые символы от нее.

Иногда люди думают, что, если база данных содержит только публично доступные данные, она не должна быть защищена. Это является неправильным. Даже если допустимо вывести на экран какую-либо строку в базе данных, следует все еще защитить от атак "отказ в обслуживании" (например, те, которые основаны на методе в предыдущем абзаце, который заставляет сервер тратить впустую ресурсы). Иначе, Ваш сервер становится безразличным законным пользователям.

Контрольный список:

Позвольте строгому режиму SQL сказать серверу быть более рестриктивным, каких значений данных это принимает. См. Раздел 5.1.7, "Режимы SQL Сервера".
Попытайтесь ввести единственные и двойные кавычки ("'"и""") во всех Ваших Веб-формах. Если Вы получаете какой-либо вид ошибки MySQL, исследуете проблему сразу же.
Попытайтесь изменить динамические URL, добавляя %22 ("""), %23 ("#"), и %27 ("'") им.
Попытайтесь изменить типы данных в динамических URL от числового до символьных типов, используя символы, показанные в предыдущих примерах. Ваше приложение должно быть безопасным против этих и подобных атак.
Попытайтесь ввести символы, пробелы, и специальные символы, а не числа в числовых полях. Ваше приложение должно удалить их прежде, чем передать их к MySQL или иначе генерировать ошибку. Передача значений непроверенных к MySQL очень опасна!
Проверьте размер данных прежде, чем передать это к MySQL.
Имейте свое приложение, соединяются с базой данных, используя имя пользователя, отличающееся от того, который Вы используете в административных целях. Не давайте Вашим приложениям права доступа, в которых они не нуждаются.

Много прикладных программных интерфейсов обеспечивают средство выхода из специальных символов в значениях данных. Должным образом используемый, это препятствует тому, чтобы пользователи приложения ввели значения, которые заставляют приложение генерировать операторы, которые имеют различный эффект, чем Вы предназначаете:

API MySQL C: Используйте mysql_real_escape_string() Вызов API.
MySQL ++: Используйте escape и quote модификаторы для потоков запроса.
PHP: Используйте любого mysqli или pdo_mysql расширения, а не более старое ext/mysql расширение. Поддержка привилегированного API улучшенный протокол аутентификации MySQL и пароли, так же как подготовленные операторы с заполнителями. См. также Раздел 21.9.1.3, "Выбирая API".

Если более старое ext/mysql расширение должно использоваться, затем для того, чтобы выйти из использования mysql_real_escape_string() функционируйте и нет mysql_escape_string() или addslashes() потому что только mysql_real_escape_string() осведомлено о наборе символов; другие функции могут "обойтись" при использовании (недопустимых) многобайтовых наборов символов.
Perl DBI: Используйте заполнителей или quote() метод.
Ruby DBI: Используйте заполнителей или quote() метод.
Java JDBC: Используйте a PreparedStatement объектные и заполнители.

У других интерфейсов программирования могли бы быть подобные возможности.