PHP中怎样防止SQL注入分析


Posted in PHP onOctober 23, 2014

本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下:

一、问题描述:

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

$unsafe_variable = $_POST['user_input']; 

 

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的:

value'); DROP TABLE table;--

那么SQL查询将变成如下:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

对此应该采取哪些有效的方法来防止SQL注入?

二、解决方法分析:

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array('name' => $name));

 

foreach ($stmt as $row) {

    // do something with $row

}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

    // do something with $row

}

三、PDO

注意,在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句(原因见下文)。为了解决这个问题,你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中,报错模式(ATTR_ERRMODE)并不是必须的,但建议加上它。这样,当发生致命错误(Fatal Error)时,脚本就不会停止运行,而是给了程序员一个捕获PDOExceptions的机会,以便对错误进行妥善处理。 然而,第一个setAttribute()调用是必须的,它禁止PDO模拟预处理语句,而使用真正的预处理语句,即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过,这将使得攻击者无法注入恶意SQL。了解原因,可参考前面这篇文章:PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6),你无法通过在PDO的构造器的DSN上设置字符集,参考:silently ignored the charset parameter 。

四、解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么?通过指定占位符(一个?或者一个上面例子中命名的 :name),告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候,预处理语句将会与你指定的参数值结合。 关键点就在这里:参数的值是和经过解析的SQL语句结合到一起,而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以,通过将SQL语句和参数分开,你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串,而不会被数据库服务器解析。回到上面的例子,如果$name变量的值为 'Sarah'; DELETE FROM employees ,那么实际的查询将是在 employees 中查找 name 字段值为 'Sarah'; DELETE FROM employees 的记录。 另一个使用预处理语句的好处是:如果你在同一次数据库连接会话中执行同样的语句许多次,它将只被解析一次,这可以提升一点执行速度。 如果你想问插入该如何做,请看下面这个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

 

$preparedStatement->execute(array('column' => $unsafeValue));

希望本文所述对大家的PHP程序设计有所帮助。

PHP 相关文章推荐
一篇入门的php Class 文章
Apr 04 PHP
php递归调用删除数组空值元素的方法
Apr 28 PHP
php需登录的文件上传管理系统
Mar 21 PHP
php实现倒计时效果
Dec 19 PHP
PHP基于cookie与session统计网站访问量并输出显示的方法
Jan 15 PHP
PHP安装GeoIP扩展根据IP获取地理位置及计算距离的方法
Jul 01 PHP
PHP请求Socket接口测试实例
Aug 12 PHP
php加密之discuz内容经典加密方式实例详解
Feb 04 PHP
PHP微信模板消息操作示例
Jun 29 PHP
PHP图片水印类的封装
Jul 06 PHP
Yii2框架可逆加密简单实现方法
Aug 25 PHP
PHP Beanstalkd消息队列的安装与使用方法实例详解
Feb 21 PHP
PDO防注入原理分析以及使用PDO的注意事项总结
Oct 23 #PHP
常用PHP框架功能对照表
Oct 23 #PHP
C/S和B/S两种架构区别与优缺点分析
Oct 23 #PHP
php中字符串和正则表达式详解
Oct 23 #PHP
PHP制作3D扇形统计图以及对图片进行缩放操作实例
Oct 23 #PHP
PHP制作图形验证码代码分享
Oct 23 #PHP
PHP链接MySQL的常用扩展函数
Oct 23 #PHP
You might like
PHP模板引擎SMARTY
2006/10/09 PHP
我常用的几个类
2006/10/09 PHP
PHP中设置时区,记录日志文件的实现代码
2013/01/07 PHP
解析php中static,const与define的使用区别
2013/06/18 PHP
phpinfo无法显示的原因及解决办法
2019/02/15 PHP
如何让easyui gridview 宽度自适应窗口改变及fitColumns应用
2013/01/25 Javascript
浅析JS原型继承与类的继承
2016/04/07 Javascript
AngularJS入门教程之模块化操作用法示例
2016/11/02 Javascript
js 判断数据类型的几种方法
2017/01/13 Javascript
jQuery插件echarts实现的多柱子柱状图效果示例【附demo源码下载】
2017/03/04 Javascript
Nodejs 获取时间加手机标识的32位标识实现代码
2017/03/07 NodeJs
认识less和webstrom的less配置方法
2017/08/02 Javascript
Vue的Class与Style绑定的方法
2017/09/01 Javascript
vue、react等单页面项目应该这样子部署到服务器
2018/01/03 Javascript
vue实现商品加减计算总价的实例代码
2018/08/12 Javascript
代码实例ajax实现点击加载更多数据图片
2018/10/12 Javascript
详解Vue2 添加对scss的支持
2019/01/02 Javascript
JSON.stringify()方法讲解
2019/01/31 Javascript
Vue.js+cube-ui(Scroll组件)实现类似头条效果的横向滚动导航条
2019/06/24 Javascript
layui动态渲染生成左侧3级菜单的方法(根据后台返回数据)
2019/09/23 Javascript
vue多个元素的样式选择器问题
2019/11/29 Javascript
使用Karma做vue组件单元测试的实现
2020/01/16 Javascript
解决vue安装less报错Failed to compile with 1 errors的问题
2020/10/22 Javascript
Nodejs实现微信分账的示例代码
2021/01/19 NodeJs
sublime python3 输入换行不结束的方法
2018/04/19 Python
使用浏览器访问python写的服务器程序
2019/10/10 Python
董事长岗位职责
2013/11/30 职场文书
幼儿园大班新学期寄语
2014/01/18 职场文书
销售类求职信
2014/06/13 职场文书
学校学习雷锋活动总结
2014/07/03 职场文书
环境科学专业教师求职信
2014/07/12 职场文书
捐款活动总结
2014/08/27 职场文书
先进事迹材料范文
2014/12/29 职场文书
街道党风廉政建设调研报告
2015/01/01 职场文书
党员转正党支部意见
2015/06/02 职场文书
python绘图subplots函数使用模板的示例代码
2021/04/30 Python