PHP中怎样防止SQL注入分析


Posted in PHP onOctober 23, 2014

本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下:

一、问题描述:

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

$unsafe_variable = $_POST['user_input']; 

 

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的:

value'); DROP TABLE table;--

那么SQL查询将变成如下:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

对此应该采取哪些有效的方法来防止SQL注入?

二、解决方法分析:

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array('name' => $name));

 

foreach ($stmt as $row) {

    // do something with $row

}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

    // do something with $row

}

三、PDO

注意,在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句(原因见下文)。为了解决这个问题,你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中,报错模式(ATTR_ERRMODE)并不是必须的,但建议加上它。这样,当发生致命错误(Fatal Error)时,脚本就不会停止运行,而是给了程序员一个捕获PDOExceptions的机会,以便对错误进行妥善处理。 然而,第一个setAttribute()调用是必须的,它禁止PDO模拟预处理语句,而使用真正的预处理语句,即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过,这将使得攻击者无法注入恶意SQL。了解原因,可参考前面这篇文章:PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6),你无法通过在PDO的构造器的DSN上设置字符集,参考:silently ignored the charset parameter 。

四、解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么?通过指定占位符(一个?或者一个上面例子中命名的 :name),告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候,预处理语句将会与你指定的参数值结合。 关键点就在这里:参数的值是和经过解析的SQL语句结合到一起,而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以,通过将SQL语句和参数分开,你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串,而不会被数据库服务器解析。回到上面的例子,如果$name变量的值为 'Sarah'; DELETE FROM employees ,那么实际的查询将是在 employees 中查找 name 字段值为 'Sarah'; DELETE FROM employees 的记录。 另一个使用预处理语句的好处是:如果你在同一次数据库连接会话中执行同样的语句许多次,它将只被解析一次,这可以提升一点执行速度。 如果你想问插入该如何做,请看下面这个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

 

$preparedStatement->execute(array('column' => $unsafeValue));

希望本文所述对大家的PHP程序设计有所帮助。

PHP 相关文章推荐
PHP模板引擎SMARTY
Oct 09 PHP
php-accelerator网站加速PHP缓冲的方法
Jul 30 PHP
Php output buffering缓存及程序缓存深入解析
Jul 15 PHP
将二维数组转为一维数组的2种方法
May 26 PHP
php通过文件流方式复制文件的方法
Mar 13 PHP
php源码分析之DZX1.5随机数函数random用法
Jun 17 PHP
ThinkPHP2.x防范XSS跨站攻击的方法
Sep 25 PHP
Yii模型操作之criteria查找数据库的方法
Jul 15 PHP
PHP实现QQ快速登录的方法
Sep 28 PHP
php 微信开发获取用户信息如何实现
Dec 13 PHP
PHP递归实现汉诺塔问题的方法示例
Nov 25 PHP
PHP dirname简单使用代码实例
Nov 13 PHP
PDO防注入原理分析以及使用PDO的注意事项总结
Oct 23 #PHP
常用PHP框架功能对照表
Oct 23 #PHP
C/S和B/S两种架构区别与优缺点分析
Oct 23 #PHP
php中字符串和正则表达式详解
Oct 23 #PHP
PHP制作3D扇形统计图以及对图片进行缩放操作实例
Oct 23 #PHP
PHP制作图形验证码代码分享
Oct 23 #PHP
PHP链接MySQL的常用扩展函数
Oct 23 #PHP
You might like
微信API接口大全
2015/04/15 PHP
tp5(thinkPHP5)操作mongoDB数据库的方法
2018/01/20 PHP
tp5(thinkPHP5)框架实现多数据库查询的方法
2019/01/10 PHP
laravel框架select2多选插件初始化默认选中项操作示例
2020/02/18 PHP
IE中直接运行显示当前网页中的图片 推荐
2006/08/31 Javascript
扩展String功能方法
2006/09/22 Javascript
Mozilla 表达式 __noSuchMethod__
2009/04/05 Javascript
面向对象的Javascript之二(接口实现介绍)
2012/01/27 Javascript
基于BootStrap Metronic开发框架经验小结【三】下拉列表Select2插件的使用
2016/05/12 Javascript
深入理解JQuery循环绑定事件
2016/06/02 Javascript
详解jquery easyui之datagrid使用参考
2016/12/05 Javascript
基于javascript实现的购物商城商品倒计时实例
2016/12/11 Javascript
使用json-server简单完成CRUD模拟后台数据的方法
2018/07/12 Javascript
vue中使用sessionStorage记住密码功能
2018/07/24 Javascript
JS中appendChild追加子节点无效的解决方法
2018/10/14 Javascript
详解vuex状态管理模式
2018/11/01 Javascript
ES6 Iterator接口和for...of循环用法分析
2019/07/31 Javascript
Python缩进和冒号详解
2016/06/01 Python
python3之模块psutil系统性能信息使用
2018/05/30 Python
python爬取网页内容转换为PDF文件
2020/07/28 Python
python调用百度语音识别实现大音频文件语音识别功能
2018/08/30 Python
python双端队列原理、实现与使用方法分析
2019/11/27 Python
什么是python的函数体
2020/06/19 Python
英国计算机商店:Technextday
2019/12/28 全球购物
北京-环亚运商测试题.net程序员初步测试题
2013/05/28 面试题
金属材料工程毕业生个人的自我评价
2013/11/28 职场文书
安全生产检讨书
2014/01/21 职场文书
退休感言
2014/01/28 职场文书
高中课前三分钟演讲稿
2014/09/13 职场文书
对党的十八届四中全会的期盼
2014/10/17 职场文书
2014年小学工作总结
2014/11/26 职场文书
2015年乡镇科普工作总结
2015/05/13 职场文书
2016七夕情人节感言
2015/12/09 职场文书
pytorch显存一直变大的解决方案
2021/04/08 Python
PostGIS的安装与入门使用指南
2022/01/18 PostgreSQL
详解OpenCV获取高动态范围(HDR)成像
2022/04/29 Python