PHP中怎样防止SQL注入分析


Posted in PHP onOctober 23, 2014

本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下:

一、问题描述:

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

$unsafe_variable = $_POST['user_input']; 

 

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的:

value'); DROP TABLE table;--

那么SQL查询将变成如下:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

对此应该采取哪些有效的方法来防止SQL注入?

二、解决方法分析:

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array('name' => $name));

 

foreach ($stmt as $row) {

    // do something with $row

}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

    // do something with $row

}

三、PDO

注意,在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句(原因见下文)。为了解决这个问题,你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中,报错模式(ATTR_ERRMODE)并不是必须的,但建议加上它。这样,当发生致命错误(Fatal Error)时,脚本就不会停止运行,而是给了程序员一个捕获PDOExceptions的机会,以便对错误进行妥善处理。 然而,第一个setAttribute()调用是必须的,它禁止PDO模拟预处理语句,而使用真正的预处理语句,即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过,这将使得攻击者无法注入恶意SQL。了解原因,可参考前面这篇文章:PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6),你无法通过在PDO的构造器的DSN上设置字符集,参考:silently ignored the charset parameter 。

四、解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么?通过指定占位符(一个?或者一个上面例子中命名的 :name),告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候,预处理语句将会与你指定的参数值结合。 关键点就在这里:参数的值是和经过解析的SQL语句结合到一起,而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以,通过将SQL语句和参数分开,你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串,而不会被数据库服务器解析。回到上面的例子,如果$name变量的值为 'Sarah'; DELETE FROM employees ,那么实际的查询将是在 employees 中查找 name 字段值为 'Sarah'; DELETE FROM employees 的记录。 另一个使用预处理语句的好处是:如果你在同一次数据库连接会话中执行同样的语句许多次,它将只被解析一次,这可以提升一点执行速度。 如果你想问插入该如何做,请看下面这个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

 

$preparedStatement->execute(array('column' => $unsafeValue));

希望本文所述对大家的PHP程序设计有所帮助。

PHP 相关文章推荐
利用js调用后台php进行数据处理原码
Oct 09 PHP
一个简洁的多级别论坛
Oct 09 PHP
Zend studio for eclipse中使php可以调用mysql相关函数的设置方法
Oct 13 PHP
使用 PHPMAILER 发送邮件实例应用
Nov 07 PHP
PDO版本问题 Invalid parameter number: no parameters were bound
Jan 06 PHP
深入解析php之apc
May 15 PHP
PHP中__get()和__set()的用法实例详解
Jun 04 PHP
PHP批量删除、清除UTF-8文件BOM头的代码实例
Apr 14 PHP
PHP+Ajax实时自动检测是否联网的方法
Jul 01 PHP
PHP判断是否连接上网络的方法
Jul 01 PHP
非常全面的php日期时间运算汇总
Nov 04 PHP
thinkphp 框架数据库切换实现方法分析
May 18 PHP
PDO防注入原理分析以及使用PDO的注意事项总结
Oct 23 #PHP
常用PHP框架功能对照表
Oct 23 #PHP
C/S和B/S两种架构区别与优缺点分析
Oct 23 #PHP
php中字符串和正则表达式详解
Oct 23 #PHP
PHP制作3D扇形统计图以及对图片进行缩放操作实例
Oct 23 #PHP
PHP制作图形验证码代码分享
Oct 23 #PHP
PHP链接MySQL的常用扩展函数
Oct 23 #PHP
You might like
PHP 遍历文件实现代码
2011/05/04 PHP
PHP制作3D扇形统计图以及对图片进行缩放操作实例
2014/10/23 PHP
PHP微信红包生成代码分享
2016/10/06 PHP
PHP实现登录验证码校验功能
2018/05/17 PHP
ThinkPHP中获取指定日期后工作日的具体日期方法
2018/10/14 PHP
jquery easyui的tabs使用时的问题
2010/03/23 Javascript
获取非最后一列td值并将title设为该值的方法
2013/10/30 Javascript
js的延迟执行问题分析
2014/06/23 Javascript
老生常谈javascript变量的命名规范和注释
2016/09/29 Javascript
jQuery动态生成不规则表格(前后端)
2017/02/21 Javascript
详解Angular路由 ng-route和ui-router的区别
2017/05/22 Javascript
Vue2.0 组件传值通讯的示例代码
2017/08/01 Javascript
AngularJS实现注册表单验证功能
2017/10/16 Javascript
使用D3.js创建物流地图的示例代码
2018/01/27 Javascript
浅析vue中常见循环遍历指令的使用 v-for
2018/04/18 Javascript
clipboard在vue中的使用的方法示例
2018/10/19 Javascript
微信小程序button标签open-type属性原理解析
2020/01/21 Javascript
js实现经典贪吃蛇小游戏
2020/03/19 Javascript
Vue 数据响应式相关总结
2021/01/28 Vue.js
[02:02]DOTA2英雄基础教程 斯拉达
2013/12/11 DOTA
Python队列的定义与使用方法示例
2017/06/24 Python
Python scikit-learn 做线性回归的示例代码
2017/11/01 Python
python通过elixir包操作mysql数据库实例代码
2018/01/31 Python
Python http接口自动化测试框架实现方法示例
2018/12/06 Python
django mysql数据库及图片上传接口详解
2019/07/18 Python
Python shelve模块实现解析
2019/08/28 Python
解决Keras 中加入lambda层无法正常载入模型问题
2020/06/16 Python
python3.7.3版本和django2.2.3版本是否可以兼容
2020/09/01 Python
DJI大疆德国官方商城:大疆无人机
2018/09/01 全球购物
美国珠宝店:Helzberg Diamonds
2018/10/24 全球购物
Unineed中文官网:高端护肤美妆与时尚配饰,英国直邮
2020/07/23 全球购物
实习单位推荐信范文
2013/11/27 职场文书
教师求职自荐书
2014/06/14 职场文书
余世维讲座观后感
2015/06/11 职场文书
用Python实现Newton插值法
2021/04/17 Python
SpringBoot读取Resource下文件的4种方法
2021/07/02 Java/Android