最实用有效的PHP中防止SQL注入 -php手册-php.cn

Home

php教程

php手册

最实用有效的PHP中防止SQL注入

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 02, 2016 am 09:13 AM

foreachcharacter processing

SQL注入攻击的概念及危害我相信大家都有所了解，如果不了解的请自己度娘，下面我们来学习一下在php中如何有效的防止

问题描述：

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句，那么应用将很可能遭受到SQL注入攻击，正如下面的例子：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的：

value'); DROP TABLE table;--

那么SQL查询将变成如下：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

应该采取哪些有效的方法来防止SQL注入？

最佳回答（来自Theo）：

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析，参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。你有两种选择来实现该方法：

1、使用PDO：

$stmt = $pdo->prepare(&#39;SELECT * FROM employees WHERE name = :name&#39;);
$stmt->execute(array(&#39;name&#39; => $name));
foreach ($stmt as $row) {
    // do something with $row
}

2、使用mysqli：

$stmt = $dbConnection->prepare(&#39;SELECT * FROM employees WHERE name = ?&#39;);
$stmt->bind_param(&#39;s&#39;, $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}

PDO

注意，在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句（原因见下文）。为了解决这个问题，你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下：

$dbConnection = new PDO(&#39;mysql:dbname=dbtest;host=127.0.0.1;charset=utf8&#39;, &#39;user&#39;, &#39;pass&#39;);
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中，报错模式(ATTR_ERRMODE)并不是必须的，但建议加上它。这样，当发生致命错误(Fatal Error)时，脚本就不会停止运行，而是给了程序员一个捕获PDOExceptions的机会，以便对错误进行妥善处理。然而，第一个setAttribute()调用是必须的，它禁止PDO模拟预处理语句，而使用真正的预处理语句，即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过，这将使得攻击者无法注入恶意SQL。了解原因，可参考这篇博文：PDO防注入原理分析以及使用PDO的注意事项。注意在老版本的PHP(

解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么？通过指定占位符（一个?或者一个上面例子中命名的 :name），告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候，预处理语句将会与你指定的参数值结合。关键点就在这里：参数的值是和经过解析的SQL语句结合到一起，而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以，通过将SQL语句和参数分开，你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串，而不会被数据库服务器解析。回到上面的例子，如果$name变量的值为 ’Sarah’; DELETE FROM employees ，那么实际的查询将是在 employees 中查找 name 字段值为 ’Sarah’; DELETE FROM employees 的记录。另一个使用预处理语句的好处是：如果你在同一次数据库连接会话中执行同样的语句许多次，它将只被解析一次，这可以提升一点执行速度。如果你想问插入该如何做，请看下面这个例子（使用PDO）：

$preparedStatement = $db->prepare(&#39;INSERT INTO table (column) VALUES (:column)&#39;);
$preparedStatement->execute(array(&#39;column&#39; => $unsafeValue));

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

Java ArrayList遍历时使用foreach和iterator删除元素的区别是什么？Apr 27, 2023 pm 03:40 PM

一、Iterator和foreach的区别多态差别(foreach底层就是Iterator)Iterator是一个接口类型，他不关心集合或者数组的类型;for和foreach都需要先知道集合的类型，甚至是集合内元素的类型;1.为啥说foreach底层就是Iterator编写的代码：反编译代码：二、foreach与iterator时remove的区别先来看阿里java开发手册但1的时候不会报错，2的时候就会报错(java.util.ConcurrentModificationException)首

php如何判断foreach循环到第几个Jul 10, 2023 pm 02:18 PM

php判断foreach循环到第几个的步骤：1、创建一个“$fruits”的数组；2、创建一个计数器变量“$counter”初始值为0；3、使用“foreach”循环遍历数组，并在循环体中增加计数器变量的值，再输出每个元素和它们的索引；4、在“foreach”循环体外输出计数器变量的值，以确认循环到了第几个元素。

PHP返回一个键值翻转后的数组Mar 21, 2024 pm 02:10 PM

这篇文章将为大家详细讲解有关PHP返回一个键值翻转后的数组，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP键值翻转数组键值翻转是一种对数组进行的操作，它将数组中的键和值进行交换，生成一个新的数组，其中原始键作为值，原始值作为键。实现方法在php中，可以通过以下方法对数组进行键值翻转：array_flip()函数：array_flip()函数专门用于键值翻转操作。它接收一个数组作为参数，并返回一个新的数组，其中键和值已交换。$original_array=[

PHP返回数组中的当前元素Mar 21, 2024 pm 12:36 PM

这篇文章将为大家详细讲解有关PHP返回数组中的当前元素，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。获取PHP数组中的当前元素php为访问和操作数组提供了多种方法，其中包括获取数组中的当前元素。以下介绍几种常用的技术：1.current()函数current()函数返回数组内部指针当前指向的元素。指针最初指向数组的第一个元素。使用以下语法：$currentElement=current($array);2.key()函数key()函数返回数组内部指针当前指向元

Tomcat中如何正确处理中文字符编码Dec 28, 2023 pm 01:20 PM

如何在Tomcat中正确处理中文字符编码在Web开发过程中，经常会遇到处理中文字符编码的问题。Tomcat作为常用的JavaWeb服务器，在处理中文字符编码方面也有一些要注意的地方。本文将介绍如何在Tomcat中正确地处理中文字符编码，并提供相应的代码示例。一、理解字符编码首先，我们需要理解字符编码的概念。字符编码是将字符映射为二进制数据的一种方式。常见的

foreach和for循环的区别是什么Jan 05, 2023 pm 04:26 PM

区别：1、for通过索引来循环遍历每一个数据元素，而forEach通过JS底层程序来循环遍历数组的数据元素；2、for可以通过break关键词来终止循环的执行，而forEach不可以；3、for可以通过控制循环变量的数值来控制循环的执行，而forEach不行；4、for在循环外可以调用循环变量，而forEach在循环外不能调用循环变量；5、for的执行效率要高于forEach。

如何使用forEach函数遍历对象的属性？Nov 18, 2023 pm 06:10 PM

如何使用forEach函数遍历对象的属性？在JavaScript中，我们经常需要对对象的属性进行遍历操作。如果你想使用一种简洁的方法来遍历对象的属性，forEach函数是一个非常好的选择。在本文中，我们将介绍如何使用forEach函数来遍历对象的属性，并提供具体的代码示例。首先，让我们来了解一下forEach函数的基本用法。forEach函数是Java

PHP 编程小窍门：学会简单的右侧第一个字符处理方法Mar 02, 2024 am 08:09 AM

PHP编程小窍门：学会简单的右侧第一个字符处理方法在PHP编程中，经常会遇到需要处理字符串的情况。其中，对于字符串中右侧第一个字符的处理是一个常见需求。本文将介绍一个简单而实用的方法，帮助你轻松处理字符串右侧第一个字符的操作。我们将结合具体的代码示例，让你更好地掌握这个技巧。在PHP中，可以使用内置的字符串处理函数来获取字符串的右侧第一个字符。其中，常用的

See all articles