探讨php中防止SQL注入最好的方法是什么

首頁

後端開發

php教程

探讨php中防止SQL注入最好的方法是什么_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:06 PM

phpsql探討插入方法是是什麼最注入使用者的輸入防止

如果用户输入的是直接插入到一个SQL语句中的查询，应用程序会很容易受到SQL注入，例如下面的例子:

复制代码代码如下:

$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

这是因为用户可以输入类似VALUE“）; DROP TABLE表; - ，使查询变成：

复制代码代码如下:

INSERT INTO table (column) VALUES('VALUE'); DROP TABLE table;'

我们应该怎么防止这种情况呢?请看下面
使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器，并被解析！对于攻击者想要恶意注入sql是不可能的！
实现这一目标基本上有两种选择：
1.使用PDO(PHP Data Objects )：

复制代码代码如下:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array(':name' => $name));
foreach ($stmt as $row) {
    // do something with $row
}

2.使用mysqli:

复制代码代码如下:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}

PDO(PHP数据对象)
注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的！为了解决这个问题，你必须禁用仿真准备好的语句。
使用PDO创建连接的例子如下：

复制代码代码如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面例子中错误模式ERRMODE不是严格必须的，但是建议添加它。当运行出错产生致命错误时，这种方法脚本不会停止。并给开发人员捕捉任何错误的机会（当抛出PDOException异常时）。
setAttribute()那一行是强制性的，它告诉PDO禁用仿真预备义语句，使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL).
当然你可以在构造函数选项中设置字符集参数，特别注意'老'的PHP版本（5.3.6）会在DSN中忽略掉字符集参数。

Explanation(解释)
在你传递的sql预备义语句被数据库服务器解析和编译会发生什么？通过指定的字符(在上面例子中像a?或者像:name)告诉数据库引擎你想要过滤什么.然后调用execute执行结合好的预备义语句和你指定的参数值.

这里最重要的是，该参数值是和预编译的语句结合的，而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此，通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时，你发送的任何参数，将只被视为字符串（虽然数据库引擎可能会做一些参数的优化，当然最终可能会为数字）.在上面的例子中，如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。

使用准备好的语句的另一个好处是，如果你在同一会话中多次执行相同的语句，这将只被解析和编译一次，给你一些的速度增长。
哦，既然你问如何进行插入，这里是一个例子（使用PDO）：

复制代码代码如下:

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute(array(':column' => $unsafeValue));

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

php怎么设置implode没有分隔符Apr 18, 2022 pm 05:39 PM

在PHP中，可以利用implode()函数的第一个参数来设置没有分隔符，该函数的第一个参数用于规定数组元素之间放置的内容，默认是空字符串，也可将第一个参数设置为空，语法为“implode(数组)”或者“implode("",数组)”。

深入探讨：Django框架是什么？Jan 19, 2024 am 09:23 AM

Django框架是一种用于Web应用程序的Python框架，它提供了一个简单而强大的方式来创建Web应用程序。事实上，Django已经成为当前最受欢迎的PythonWeb开发框架之一，也成为很多公司的首选，包括Instagram和Pinterest。本文将深入探讨Django框架是什么，包括基础概念和重要组件，以及具体代码示例。Django基础概念Djan

深入探讨Laravel中的Head请求方法Mar 06, 2024 pm 03:36 PM

作为一个流行的PHP框架，Laravel提供了许多便捷的请求方法来处理不同类型的HTTP请求。其中，Head请求方法是一个比较特殊且常被忽视的方法。在本文中，我们将深入探讨Laravel中Head请求方法的作用、用法和示例代码。什么是Head请求方法？Head请求方法是HTTP协议中定义的一种请求方法，在发送Head请求时，服务器将仅返回请求头信息，而不会返

深入探讨Go语言对C语言的兼容程度Mar 07, 2024 pm 02:45 PM

Go语言是一门由Google开发的编程语言，具有高效、简洁、并发性强等特点。它在语法结构、包管理、高级特性等方面都有很大的优势，因此备受程序员青睐。然而，在实际开发中，很多项目会涉及到与传统的编程语言C进行交互，因此Go语言与C语言的兼容性就显得尤为重要。首先，我们来谈谈Go语言与C语言的兼容性。在Go语言中，可以通过CGo将Go语言与C语言进行交互。CGo

深入探讨：Golang是否适合编写驱动程序？Mar 20, 2024 am 10:09 AM

Golang是一种由谷歌开发的编程语言，其出色的性能和并发特性使其在各种领域中得到了广泛的应用，包括网络编程、大数据处理等。然而，对于一些需要直接操作硬件的领域，比如驱动程序开发，人们可能会开始思考：Golang是否适合用于编写驱动程序呢？本文将深入探讨这个问题，并通过具体的代码示例来展示Golang在驱动程序开发中的应用。首先，让我们来了解一下什么是驱动程

深入探讨：Go语言中的单线程特性Mar 15, 2024 pm 02:09 PM

Go语言作为一种现代化的编程语言，以其简洁高效的特性在近年来受到越来越多开发者的喜爱和青睐。其中一个让人独特的地方就是其单线程特性。在传统的多线程编程语言中，开发者通常需要手动管理线程之间的同步和互斥，而在Go语言中，借助其独特的协程（Goroutine）和通信机制（channel），可以方便且高效地实现并发编程。一、Goroutine与单线程：Go语言中的

深入探讨Linux中常见的特殊字符Mar 14, 2024 pm 02:54 PM

Linux操作系统作为一种常用的开源操作系统，具有强大的可定制性和灵活性。在使用Linux系统时，我们经常会遇到各种特殊字符的处理。这些特殊字符在命令行中具有特殊的含义，能够实现很多高级功能。本文将深入探讨Linux中常见的特殊字符，并结合具体的代码示例来详细介绍它们的用法。通配符：通配符是用来匹配文件名的特殊字符，常见的通配符包括*、?、[]等。下面是几种

Golang的本质是脚本语言还是编译语言？探讨Mar 19, 2024 pm 03:12 PM

Golang的本质是脚本语言还是编译语言？探讨Golang，也被称为Go语言，是一种由Google开发的静态类型编程语言。自诞生以来，Golang一直备受开发者关注，其优秀的并发性能、简洁的语法和跨平台特性使其在各个领域得到广泛应用。然而，关于Golang到底是脚本语言还是编译语言，却一直存在着争议。脚本语言和编译语言在运行时的不同方式给人们留下了深刻的印象

See all articles