php中防止SQL注入的最佳解决方法


Posted in PHP onApril 25, 2013

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:

$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成:
INSERT INTO table (column) VALUES('VALUE'); DROP TABLE table;'

我们应该怎么防止这种情况呢?下面我们来看看Theo的回答

使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器,并被解析!对于攻击者想要恶意注入sql是不可能的!

实现这一目标基本上有两种选择:

1.使用PDO(PHP Data Objects )

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array(':name' => $name));
foreach ($stmt as $row) {
    // do something with $row
}

2.使用mysqli

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}

PDO(PHP数据对象)

注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的!为了解决这个问题,你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面例子中错误模式ERRMODE不是严格必须的,但是建议添加它。当运行出错产生致命错误时,这种方法脚本不会停止。并给开发人员捕捉任何错误的机会(当抛出PDOException异常时)。

setAttribute()那一行是强制性的,它告诉PDO禁用仿真预备义语句,使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL).

当然你可以在构造函数选项中设置字符集参数,特别注意'老'的PHP版本(5.3.6)会在DSN中忽略掉字符集参数。

Explanation(解释)

在你传递的sql预备义语句 被数据库服务器解析和编译会发生什么?通过指定的字符(在上面例子中像a?或者像:name)告诉数据库引擎你想要过滤什么.然后调用execute执行结合好的预备义语句和你指定的参数值.

这里最重要的是,该参数值是和预编译的语句结合的,而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此,通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时,你发送的任何参数,将只被视为字符串(虽然数据库引擎可能会做一些参数的优化,当然最终可能会为数字).在上面的例子中,如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。

使用准备好的语句的另一个好处是,如果你在同一会话中多次执行相同的语句,这将只被解析和编译一次,给你一些的速度增长。
哦,既然你问如何进行插入,这里是一个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute(array(':column' => $unsafeValue));

PHP 相关文章推荐
一个程序下载的管理程序(一)
Oct 09 PHP
php下实现折线图效果的代码
Apr 28 PHP
PHP5中的时间相差8小时的解决办法
Mar 28 PHP
PHP中如何实现常用邮箱的基本判断
Jan 07 PHP
destoon实现商铺管理主页设置增加新菜单的方法
Jun 26 PHP
浅谈php错误提示及查错方法
Jul 14 PHP
php封装的连接Mysql类及用法分析
Dec 10 PHP
CI映射(加载)数据到view层的方法
Mar 28 PHP
利用php生成验证码
Feb 23 PHP
ThinkPHP like模糊查询,like多匹配查询,between查询,in查询,一般查询书写方法
Sep 26 PHP
php根据命令行参数生成配置文件详解
Mar 15 PHP
Mac系统下搭建Nginx+php-fpm实例讲解
Dec 15 PHP
Apache下禁止php文件被直接访问的解决方案
Apr 25 #PHP
PHP笔记之:日期函数的使用介绍
Apr 24 #PHP
php笔记之:AOP的应用
Apr 24 #PHP
php class中self,parent,this的区别以及实例介绍
Apr 24 #PHP
PHP中::、->、self、$this几种操作符的区别介绍
Apr 24 #PHP
php判断终端是手机还是电脑访问网站的思路及代码
Apr 24 #PHP
用PHP提取中英文词语以及数字的首字母的方法介绍
Apr 23 #PHP
You might like
php 模拟GMAIL,HOTMAIL(MSN),YAHOO,163,126邮箱登录的详细介绍
2013/06/18 PHP
PHP使用Alexa API获取网站的Alexa排名例子
2014/06/12 PHP
php递归json类实例
2014/12/02 PHP
PHP实现的QQ空间g_tk加密算法
2015/07/09 PHP
PHP中PDO连接数据库中各种DNS设置方法小结
2016/05/13 PHP
PHP语言对接抖音快手小红书视频/图片去水印API接口源码
2020/08/11 PHP
javascript的键盘控制事件说明
2008/04/15 Javascript
基于jquery实现的鼠标拖拽元素复制并写入效果
2011/08/23 Javascript
jquery模拟按下回车实现代码
2011/09/20 Javascript
NodeJs中的非阻塞方法介绍
2012/06/05 NodeJs
JQuery文字列表向上滚动的代码
2013/11/13 Javascript
bootstrap datepicker 与bootstrapValidator同时使用时选择日期后无法正常触发校验的解决思路
2016/09/28 Javascript
jQuery实现动态文字搜索功能
2017/01/05 Javascript
Angular在一个页面中使用两个ng-app的方法(二)
2017/02/20 Javascript
vue环形进度条组件实例应用
2018/10/10 Javascript
ES6 系列之 Generator 的自动执行的方法示例
2018/10/19 Javascript
[05:14]辉夜杯主赛事第二日 RECAP精彩回顾
2015/12/27 DOTA
Python实现的简单发送邮件脚本分享
2014/11/07 Python
小小聊天室Python代码实现
2016/08/17 Python
python+mysql实现学生信息查询系统
2019/02/21 Python
python pprint模块中print()和pprint()两者的区别
2020/02/10 Python
Python requests模块cookie实例解析
2020/04/14 Python
IDLE下Python文件编辑和运行操作
2020/04/25 Python
用python进行视频剪辑
2020/11/02 Python
阿迪达斯西班牙官方网站:adidas西班牙
2016/07/21 全球购物
日常奢侈品,轻松购物:Verishop
2019/08/20 全球购物
以下的初始化有什么区别
2013/12/16 面试题
毕业生文员求职信
2013/11/03 职场文书
客户经理岗位职责
2013/12/08 职场文书
十岁生日家长答谢词
2014/01/17 职场文书
社区国庆节活动方案
2014/02/05 职场文书
计算机应届毕业生自荐信范文
2014/02/23 职场文书
基层工作经验证明样本
2014/11/16 职场文书
高中语文教学反思范文
2016/02/16 职场文书
MySQL查看表和清空表的常用命令总结
2021/05/26 MySQL
Kubernetes关键组件与结构组成介绍
2022/03/31 Servers