PHP 和 MySQL 中的參數化查詢如何防範 SQL 注入攻擊？-mysql教程-PHP中文網

首頁

資料庫

mysql教程

PHP 和 MySQL 中的參數化查詢如何防範 SQL 注入攻擊？

Linda Hamilton

Oct 28, 2024 pm 07:03 PM

How can Parameterized Queries in PHP with MySQL protect against SQL Injection Attacks?

用於安全 PHP-MySQL 連接的參數化查詢

SQL 注入對 Web 應用程式構成嚴重的安全威脅。透過操縱 SQL 查詢，攻擊者可以獲得對敏感資料的未經授權的存取或破壞資料庫操作。參數化查詢提供了緩解此漏洞的有效對策。

以下是登入頁面中的一段程式碼，說明如何使用MySQL 在PHP 中準備參數化查詢：

<code class="php">$dbc = @mysqli_connect($dbhost, $dbuser, $dbpass, $db); // MySQL connection

$userName = $_POST["username"];
$userPass = $_POST["password"];

$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?");
mysqli_stmt_bind_param($stmt, "s", $userName);
mysqli_stmt_bind_param($stmt, "s", $userPass);
mysqli_stmt_execute($stmt);
$row = mysqli_stmt_fetch($stmt);

if (!$row) {
    echo "No existing user or wrong password.";
}</code>

此程式碼使用mysqli_connect 建立與MySQL 資料庫的連接，並將連線標識符分配給$dbc。 $userName 和 $userPass 變數會接收使用者在登入頁面輸入的使用者名稱和密碼。

mysqli_prepare 函數初始化準備好的語句。將執行的 SQL 查詢作為第一個參數傳遞。在這種情況下，它會從使用者表中檢索使用者名稱和密碼與輸入參數相符的所有行。

接下來，mysqli_stmt_bind_param 用於將使用者提供的輸入參數 $userName 和 $userPass 綁定到準備好的語句中的佔位符 (?)。程式碼指定兩個參數都是資料型別 s（字串）。

mysqli_stmt_execute 函式執行準備好的語句。

最後，mysqli_stmt_fetch 從結果集中檢索第一行並將其指派給$row 變數。

透過使用參數化查詢，此程式碼可確保惡意 SQL 語句無法執行，從而防止 SQL 注入攻擊。

為了增加安全性，強烈建議加密或在將使用者密碼儲存到資料庫之前對其進行雜湊處理。

以上是PHP 和 MySQL 中的參數化查詢如何防範 SQL 注入攻擊？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

如何向新的MySQL用戶授予權限May 09, 2025 am 12:16 AM

TograntpermissionstonewMySQLusers,followthesesteps:1)AccessMySQLasauserwithsufficientprivileges,2)CreateanewuserwiththeCREATEUSERcommand,3)UsetheGRANTcommandtospecifypermissionslikeSELECT,INSERT,UPDATE,orALLPRIVILEGESonspecificdatabasesortables,and4)

如何在MySQL中添加用戶：逐步指南May 09, 2025 am 12:14 AM

toadduserInmysqleffect和securly，跟隨台詞：1）USEtheCreateUserStattoDaneWuser，指定thehostandastrongpassword.2）GrantNecterAryAryaryPrivilegesSustherthing privilegesgeStatement，usifementStatement，adheringtotheprinciplelastprefilegege.3）

mysql：添加具有復雜權限的新用戶May 09, 2025 am 12:09 AM

toaddanewuserwithcomplexpermissionsinmysql，loldtheSesteps：1）創建eTheEserWithCreateuser'newuser'newuser'@''localhost'Indedify'pa ssword';。 2）GrantreadAccesstoalltablesin'mydatabase'withGrantSelectOnMyDatabase.to'newuser'@'localhost';。 3）GrantWriteAccessto'

mysql：字符串數據類型和coltrationsMay 09, 2025 am 12:08 AM

MySQL中的字符串數據類型包括CHAR、VARCHAR、BINARY、VARBINARY、BLOB、TEXT，排序規則（Collations）決定了字符串的比較和排序方式。 1.CHAR適合固定長度字符串，VARCHAR適合可變長度字符串。 2.BINARY和VARBINARY用於二進制數據，BLOB和TEXT用於大對像數據。 3.排序規則如utf8mb4_unicode_ci忽略大小寫，適合用戶名；utf8mb4_bin區分大小寫，適合需要精確比較的字段。

MySQL：我應該在Varchars上使用什麼長度？May 09, 2025 am 12:06 AM

最佳的MySQLVARCHAR列長度選擇應基於數據分析、考慮未來增長、評估性能影響及字符集需求。 1)分析數據以確定典型長度；2)預留未來擴展空間；3)注意大長度對性能的影響；4)考慮字符集對存儲的影響。通過這些步驟，可以優化數據庫的效率和擴展性。

mysql blob：有什麼限制嗎？May 08, 2025 am 12:22 AM

mysqlblobshavelimits：tinyblob（255bytes），blob（65,535 bytes），中間佈洛布（16,777,215個比例），andlongblob（4,294,967,967,295 bytes）.tousebl觀察：1）考慮pperformance impactsandSandStorLageBlobSextern; 2）管理backbackupsandreplication carecration; 3）usepathsinst

MySQL：自動化用戶創建的最佳工具是什麼？May 08, 2025 am 12:22 AM

自動化在MySQL中創建用戶的最佳工具和技術包括：1.MySQLWorkbench，適用於小型到中型環境，易於使用但資源消耗大；2.Ansible，適用於多服務器環境，簡單但學習曲線陡峭；3.自定義Python腳本，靈活但需確保腳本安全性；4.Puppet和Chef，適用於大規模環境，複雜但可擴展。選擇時需考慮規模、學習曲線和集成需求。

mysql：我可以在斑點內搜索嗎？May 08, 2025 am 12:20 AM

是的，YouCansearchInIdeAblobInMysqlusingsPecificteChniques.1）轉換theblobtoautf-8StringWithConvertFunctionWithConvertFunctionandSearchUsiseLike.2）forCompresseBlysBlobs，useuncompresseblobs，useuncompressbeforeconversion.3）expperformance impperformance imptactSandDataEcoding.4）

See all articles