Php中用PDO查询Mysql来避免SQL注入风险的方法


Posted in PHP onApril 25, 2013

当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。

PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展来跟各个数据库的连接和处理,如 php_mysql.dll。 PHP6中也将默认使用PDO的方式连接,mysql扩展将被作为辅助 。官方:http://php.net/manual/en/book.pdo.php

1、PDO配置
使用PDO扩展之前,先要启用这个扩展,PHP.ini中,去掉"extension=php_pdo.dll"前面的";"号,若要连接数据库,还需要去掉与PDO相关的数据库扩展前面的";"号(一般用的是php_pdo_mysql.dll),然后重启Apache服务器即可。

extension=php_pdo.dll
extension=php_pdo_mysql.dll

2、PDO连接mysql数据库
$dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password");

默认不是长连接,若要使用数据库长连接,需要在最后加如下参数:
$dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password","array(PDO::ATTR_PERSISTENT => true)");
$dbh = null; //(释放)

3、PDO设置属性

1) PDO有三种错误处理方式:

• PDO::ERrmODE_SILENT不显示错误信息,只设置错误码
• PDO::ERrmODE_WARNING显示警告错
• PDO::ERrmODE_EXCEPTION抛出异常

可通过以下语句来设置错误处理方式为抛出异常

$db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);

当设置为PDO::ERrmODE_SILENT时可以通过调用errorCode() 或errorInfo()来获得错误信息,当然其他情况下也可以。

2) 因为不同数据库对返回的字段名称大小写处理不同,所以PDO提供了PDO::ATTR_CASE设置项(包括PDO::CASE_LOWER,PDO::CASE_NATURAL,PDO::CASE_UPPER),来确定返回的字段名称的大小写。

3) 通过设置PDO::ATTR_ORACLE_NULLS类型(包括PDO::NULL_NATURAL,PDO::NULL_EmpTY_STRING,PDO::NULL_TO_STRING)来指定数据库返回的NULL值在php中对应的数值。

4、PDO常用方法及其应用
PDO::query() 主要是用于有记录结果返回的操作,特别是SELECT操作
PDO::exec() 主要是针对没有结果集合返回的操作,如INSERT、UPDATE等操作
PDO::prepare() 主要是预处理操作,需要通过$rs->execute()来执行预处理里面的SQL语句,这个方法可以绑定参数,功能比较强大(防止sql注入就靠这个)
PDO::lastInsertId() 返回上次插入操作,主键列类型是自增的最后的自增ID
PDOStatement::fetch() 是用来获取一条记录
PDOStatement::fetchAll() 是获取所有记录集到一个集合
PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段,缺省是第一个字段
PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集,对PDO::exec()方法和SELECT操作无效。

5、PDO操作MYSQL数据库实例

<?php
$pdo = new PDO("mysql:host=localhost;dbname=db_demo","root","");
if($pdo -> exec("insert into db_demo(name,content) values('title','content')")){
echo "插入成功!";
echo $pdo -> lastinsertid();
}
?>

<?php
$pdo = new PDO("mysql:host=localhost;dbname=db_demo","root","");
$rs = $pdo -> query("select * from test");
$rs->setFetchMode(PDO::FETCH_ASSOC); //关联数组形式
//$rs->setFetchMode(PDO::FETCH_NUM); //数字索引数组形式
while($row = $rs -> fetch()){
print_r($row);
}
?>

<?php
foreach( $db->query( "SELECT * FROM feeds" ) as $row )
{
    print_r( $row );
}
?>

统计有多少行数据
$sql="select count(*) from test";
$num = $dbh->query($sql)->fetchColumn();

prepare方式
$stmt = $dbh->prepare("select * from test");
if ($stmt->execute()) {
 while ($row = $stmt->fetch()) {
     print_r($row);
 }
}

Prepare参数化查询
$stmt = $dbh->prepare("select * from test where name = ?");
if ($stmt->execute(array("david"))) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}

【下面来说说重点了,如何防止 sql注入】

使用PDO访问MySQL数据库时,真正的real prepared statements 默认情况下是不使用的。为了解决这个问题,你必须禁用 prepared statements的仿真效果。下面是使用PDO创建链接的例子:

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。

我们来看一段完整的代码使用实例:

$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'");
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}
$dbh = null;

上面这段代码就可以防范sql注入。为什么呢?

当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。

但是我们需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入

1、你不能让占位符 ? 代替一组值,如:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能让占位符代替数据表名或列名,如:
SELECT * FROM blog ORDER BY ?;

3、你不能让占位符 ? 代替任何其他SQL语法,如:
SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

PHP 相关文章推荐
php Mysql日期和时间函数集合
Nov 16 PHP
PHP开发的一些注意点总结
Oct 12 PHP
php递归方法实现无限分类实例代码
Feb 28 PHP
PHP结合jQuery.autocomplete插件实现输入自动完成提示的功能
Apr 27 PHP
yii2 页面底部加载css和js的技巧
Apr 21 PHP
CI框架出现mysql数据库连接资源无法释放的解决方法
May 17 PHP
PHP编辑器PhpStrom运行缓慢问题
Feb 21 PHP
ThinkPHP中Widget扩展的两种写法及调用方法详解
May 04 PHP
Thinkphp5行为使用方法汇总
Dec 21 PHP
PHP CURL使用详解
Mar 21 PHP
PHP面向对象程序设计中的self、static、parent关键字用法分析
Aug 14 PHP
Yii框架中用response保存cookie,用request读取cookie的原理解析
Sep 04 PHP
php中防止SQL注入的最佳解决方法
Apr 25 #PHP
Apache下禁止php文件被直接访问的解决方案
Apr 25 #PHP
PHP笔记之:日期函数的使用介绍
Apr 24 #PHP
php笔记之:AOP的应用
Apr 24 #PHP
php class中self,parent,this的区别以及实例介绍
Apr 24 #PHP
PHP中::、-&amp;gt;、self、$this几种操作符的区别介绍
Apr 24 #PHP
php判断终端是手机还是电脑访问网站的思路及代码
Apr 24 #PHP
You might like
PHP截断标题且兼容utf8和gb2312编码
2013/09/22 PHP
PHP strstr 函数判断字符串是否否存在的实例代码
2013/09/28 PHP
Yii使用DeleteAll连表删除出现报错问题的解决方法
2016/07/14 PHP
JavaScript之编码规范 推荐
2012/05/23 Javascript
js模仿html5 placeholder适应于不支持的浏览器
2013/01/13 Javascript
jQuery实现 注册时选择阅读条款 左右移动
2013/04/11 Javascript
使用JSLint提高JS代码质量方法分享
2013/12/16 Javascript
js/jquery判断浏览器的方法小结
2014/09/02 Javascript
js的flv视频播放器插件使用方法
2015/06/23 Javascript
Highcharts学习之数据列
2016/08/03 Javascript
AngularJS教程之简单应用程序示例
2016/08/16 Javascript
一步一步封装自己的HtmlHelper组件BootstrapHelper(二)
2016/09/14 Javascript
xcode中获取js文件的路径方法(推荐)
2016/11/05 Javascript
JS实现手写parseInt的方法示例
2017/09/24 Javascript
微信小程序实现YDUI的ScrollTab组件
2018/02/02 Javascript
react router4+redux实现路由权限控制的方法
2018/05/03 Javascript
前端天气插件tpwidget使用方法详解
2019/06/24 Javascript
微信小程序判断页面是否从其他页面返回的实例代码
2019/07/03 Javascript
微信小程序左右滚动公告栏效果代码实例
2019/09/16 Javascript
[10:21]DOTA2-DPC中国联赛 正赛 PSG.LGD vs Aster 选手采访
2021/03/11 DOTA
基于python OpenCV实现动态人脸检测
2018/05/25 Python
Python random库使用方法及异常处理方案
2020/03/02 Python
python实现简单文件读写函数
2021/02/25 Python
Chantelle仙黛尔内衣美国官网:法国第一品牌内衣
2018/07/26 全球购物
Interflora澳大利亚:同日鲜花速递
2019/06/25 全球购物
北欧最好的童装网上商店:Babyshop
2019/09/15 全球购物
材料成型专业个人求职信范文
2013/09/25 职场文书
弘扬雷锋精神演讲稿
2014/05/10 职场文书
捐款倡议书格式范文
2014/05/14 职场文书
实习证明格式范文
2014/10/14 职场文书
自主招生自荐信范文
2015/03/04 职场文书
2015年酒店客房部工作总结
2015/04/25 职场文书
总经理聘用协议书
2015/09/21 职场文书
Django操作cookie的实现
2021/05/26 Python
浅谈Golang 切片(slice)扩容机制的原理
2021/06/09 Golang
把77A收信机改造成收音机
2022/04/05 无线电