Adakah Penyata Disediakan PDO Sentiasa Mencegah Suntikan SQL?

Adakah Penyata Disediakan PDO Mencukupi untuk Mencegah Suntikan SQL?

Pernyataan yang disediakan PDO (Objek Data PHP) ialah alat yang berkuasa untuk melindungi daripada SQL suntikan. Walau bagaimanapun, adalah penting untuk memahami batasan mereka untuk benar-benar melindungi daripada kerentanan ini.

Masalah dengan Persediaan Ditiru:

Secara lalai, PDO meniru pernyataan yang disediakan untuk MySQL. Walau bagaimanapun, emulasi ini mempunyai kelemahan keselamatan yang boleh dieksploitasi oleh penyerang mahir. Dalam senario serangan ini:

1. Set aksara pelayan ditetapkan kepada satu yang menyokong aksara berbilangbait yang dikodkan dengan ' (sentak belakang).
2. Satu muatan dibuat yang mengandungi gabungan aksara berbilang bait tidak sah.
3. PDO secara dalaman memanggil fungsi MySQL C API mysql_real_escape_string() untuk melepaskan muatan, yang dilakukannya mengikut set aksara sambungan.
4. Aksara multibait yang tidak sah dalam muatan dianggap sebagai bait tunggal yang sah, menghasilkan aksara ' yang tidak dilepaskan.
5. Watak ' escaped ini boleh digunakan untuk membuat suntikan SQL serangan.

Mencegah Serangan:

Untuk mengelakkan serangan ini, anda boleh melumpuhkan kenyataan yang disediakan yang dicontohi dengan menetapkan atribut PDO PDO::ATTR_EMULATE_PREPARES kepada palsu. Ini memaksa PDO menggunakan kenyataan yang disediakan benar, yang lebih selamat.

Anda juga boleh mengurangkan serangan dengan:

• Menggunakan set aksara yang tidak terdedah untuk pengekodan sambungan, seperti UTF-8.
• Mendayakan NO_BACKSLASH_ESCAPES SQL mod.

Contoh Selamat:

Contoh berikut menggambarkan penggunaan selamat kenyataan PDO yang disediakan:

// Disable emulated prepares and use non-vulnerable character set
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

// Use DSN charset parameter in PHP ≥ 5.3.6
$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

Dalam Kesimpulannya, menggunakan persediaan PDO secara amnya mencukupi untuk mencegah suntikan SQL, tetapi penting untuk mengetahui dan mengurangkan potensi kelemahan. Dengan memahami batasan kenyataan yang disediakan yang dicontohi dan memastikan konfigurasi yang serasi, anda boleh melindungi aplikasi anda daripada suntikan berniat jahat dengan berkesan.

Atas ialah kandungan terperinci Adakah Penyata Disediakan PDO Sentiasa Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!