準備好的陳述和參數化查詢如何防止PHP中的SQL注入？

PHP 中防止 SQL 注入

如果未正確處理使用者輸入並將其插入 SQL 查詢中，則會產生 SQL 注入漏洞。為了理解這種風險，請考慮以下範例：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

在此場景中，如果使用者惡意輸入類似 value'); DROP TABLE table;-- 的值，查詢將變為：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

這為資料庫上的惡意攻擊打開了大門。

緩解技術：

無論使用哪個資料庫，防止 SQL 注入的建議安全實務都是將資料與 SQL 分開。這意味著確保數據被視為數據，而絕不會被 SQL 解析器解釋為命令。實現此目標最有效的方法是使用預處理語句和參數化查詢。

預處理語句與參數化查詢：

預處理語句涉及將 SQL 查詢和參數分別傳送到資料庫伺服器，允許資料庫處理它們的組合。這透過確保資料在傳輸前不會被 PHP 解析來防止惡意的 SQL 注入嘗試。

實作選項：

實作預處理語句主要有兩種方法：

1. PDO（PHP 資料物件）：

   這是一種通用的方法，適用於所有受支援的資料庫驅動程式。以下是其用法的範例：

   $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
   $stmt->execute([ 'name' => $name ]);
   
   foreach ($stmt as $row) {
       // 处理行
   }

2. MySQLi（MySQL 改進擴充）：

   對於 MySQL 資料庫，可以使用 MySQLi。從 PHP 8.2 開始，可以使用 execute_query() 方法在一個步驟中準備、綁定參數和執行 SQL 語句：

   $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

   對於 PHP 8.1 及以下版本：

   $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
   $stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型
   $stmt->execute();
   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

如果使用 MySQL 以外的資料庫，將存在特定於驅動程式的替代方法，例如 PostgreSQL 的 pg_prepare() 和 pg_execute()。

正確的連線設定：

建立連線時，重要的是要停用預處理語句的模擬，以提高效能和安全性。

PDO 連線：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

MySQLi 連線：

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集

結論：

透過實現預處理語句並正確設定連接，您可以有效地防止 SQL 注入攻擊，並確保資料庫應用程式的安全性和完整性。

以上是準備好的陳述和參數化查詢如何防止PHP中的SQL注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！