PHP中防止SQL注入方法详解


Posted in PHP onDecember 25, 2014

问题描述:

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的:

value'); DROP TABLE table;--

那么SQL查询将变成如下:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

应该采取哪些有效的方法来防止SQL注入?

 最佳回答(来自Theo):

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array('name' => $name));

 

foreach ($stmt as $row) {

    // do something with $row

}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

    // do something with $row

}

 PDO

注意,在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句(原因见下文)。为了解决这个问题,你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中,报错模式(ATTR_ERRMODE)并不是必须的,但建议加上它。这样,当发生致命错误(Fatal Error)时,脚本就不会停止运行,而是给了程序员一个捕获PDOExceptions的机会,以便对错误进行妥善处理。 然而,第一个setAttribute()调用是必须的,它禁止PDO模拟预处理语句,而使用真正的预处理语句,即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过,这将使得攻击者无法注入恶意SQL。了解原因,可参考这篇博文:PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6),你无法通过在PDO的构造器的DSN上设置字符集,参考:silently ignored the charset parameter。

 解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么?通过指定占位符(一个?或者一个上面例子中命名的 :name),告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候,预处理语句将会与你指定的参数值结合。 关键点就在这里:参数的值是和经过解析的SQL语句结合到一起,而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以,通过将SQL语句和参数分开,你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串,而不会被数据库服务器解析。回到上面的例子,如果$name变量的值为 'Sarah'; DELETE FROM employees ,那么实际的查询将是在 employees 中查找 name 字段值为 'Sarah'; DELETE FROM employees 的记录。 另一个使用预处理语句的好处是:如果你在同一次数据库连接会话中执行同样的语句许多次,它将只被解析一次,这可以提升一点执行速度。 如果你想问插入该如何做,请看下面这个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute(array('column' => $unsafeValue));
PHP 相关文章推荐
两个强悍的php 图像处理类1
Jun 15 PHP
怎样给PHP源代码加密?PHP二进制加密与解密的解决办法
Apr 22 PHP
解析CI即CodeIgniter框架在Nginx下的重写规则
Jun 03 PHP
PHP彩蛋信息介绍和阻止泄漏的方法(隐藏功能)
Aug 06 PHP
php随机获取金山词霸每日一句的方法
Jul 09 PHP
PHP针对字符串开头和结尾的判断方法
Jul 11 PHP
浅谈PHP的反射机制
Dec 15 PHP
yii2实现分页,带搜索的分页功能示例
Jan 07 PHP
PHP回调函数与匿名函数实例详解
Aug 16 PHP
php实现的后台表格分页功能示例
Oct 23 PHP
php中输出json对象的值(实现方法)
Mar 07 PHP
PHP一个简单的无需刷新爬虫
Jan 05 PHP
使用PHP实现阻止用户上传成人照片或者裸照
Dec 25 #PHP
浅析PHP文件下载原理
Dec 25 #PHP
php使用sql server验证连接数据库的方法
Dec 25 #PHP
php实现mysql事务处理的方法
Dec 25 #PHP
php使用pdo连接mssql server数据库实例
Dec 25 #PHP
php连接与操作PostgreSQL数据库的方法
Dec 25 #PHP
完整删除ecshop中获取店铺信息的API
Dec 24 #PHP
You might like
欧美媒体选出10年前最流行的17部动画
2017/01/18 日漫
压力如何影响浓缩咖啡品质
2021/03/03 咖啡文化
PHP 截取字符串 分别适合GB2312和UTF8编码情况
2009/02/12 PHP
ucenter通信原理分析
2015/01/09 PHP
YII2框架中使用yii.js实现的post请求
2017/04/09 PHP
thinkphp5框架扩展redis类方法示例
2019/05/06 PHP
js null,undefined,字符串小结
2010/08/21 Javascript
javascript实现的使用方向键控制光标在table单元格中切换
2010/11/17 Javascript
js实现快速分享功能(你的文章分享工具)
2013/06/25 Javascript
js获取客户端外网ip的简单实例
2013/11/21 Javascript
javascript中setTimeout的问题解决方法
2014/05/08 Javascript
JavaScript实现简单的数字倒计时
2015/05/15 Javascript
Bootstrap图片轮播组件Carousel使用方法详解
2016/10/20 Javascript
详谈DOM简介及节点、属性、查找节点的方法
2017/11/16 Javascript
react native 文字轮播的实现示例
2018/07/27 Javascript
node错误处理与日志记录的实现
2018/12/24 Javascript
利用百度echarts实现图表功能简单入门示例【附源码下载】
2019/06/10 Javascript
使用js实现一个简单的滚动条过程解析
2019/09/10 Javascript
JavaScript中数组去重的5种方法
2020/07/04 Javascript
JS代码简洁方式之函数方法详解
2020/07/28 Javascript
python中List的sort方法指南
2014/09/01 Python
Python检测一个对象是否为字符串类的方法
2015/05/21 Python
python实现的简单FTP上传下载文件实例
2015/06/30 Python
Python操作MySQL数据库9个实用实例
2015/12/11 Python
python多线程之事件Event的使用详解
2018/04/27 Python
python 使用opencv 把视频分割成图片示例
2019/12/12 Python
Java多线程实现四种方式原理详解
2020/06/02 Python
django表单中的按钮获取数据的实例分析
2020/07/31 Python
python3.9和pycharm的安装教程并创建简单项目的步骤
2021/02/03 Python
劳资协议书范本
2014/04/23 职场文书
报到证办理个人委托书
2014/10/06 职场文书
2014年实验室工作总结
2014/12/03 职场文书
物业客服专员岗位职责
2015/04/07 职场文书
看雷锋电影观后感
2015/06/10 职场文书
导游词之阳朔遇龙河
2019/12/16 职场文书
k-means & DBSCAN 总结
2021/04/27 Python