php如何防止sql注入

簡單的SQL注入範例

例如，A有一個銀行網站。已為銀行客戶提供了一個網路介面，以查看其帳號和餘額。您的銀行網站使用http://example.com/get_account_details.php?account_id=102等網址從資料庫中提取詳細資料。

例如，get_account_details.php的程式碼，如下所示：

$accountId = $_GET['account_id'];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

客戶accountId透過查詢字串作為account_id傳遞。與上面的Url一樣，如果使用者的帳戶ID為102並且它在查詢字串中傳遞。 Php腳本將建立如下所示的查詢。

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102取得accountNumber和餘額詳細信息，並提供給客戶。

相關推薦：《php教學》

我們假設另一個場景，智慧客戶已經通過了account_id，就像0 OR 1=1查詢字串一樣。現在會發生什麼事？ PHP腳本將建立如下所示的查詢並在資料庫上執行。

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

查看由腳本和資料庫傳回的結果所建立的查詢。您可以看到此查詢傳回了所有帳號和可用餘額。

這稱為SQL注入。這是一個簡單的方式，其實可以有很多方法可以進行SQL注入。下面我們就來看看如何使用PHP MySQLi驅動程式和PHP PDO驅動程式來防止SQL注入。

使用PHP-MySQLi驅動程式

可以使用PHP-MySQLi驅動程式預處理語句來避免這些類型的SQL注入。

PHP防止SQL注入的程式碼如下：

$accountId = $_GET['account_id'];  
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {   
    $stmt->bind_param("s", $accountId);  
    $stmt->execute();  
 $result = $stmt->get_result();  
 while ($row = $result->fetch_assoc()) {
 // do something here
 }  
    $stmt->close(); 
}

使用PHP-PDO驅動程式

可以使用PHP-PDO驅動程式prepare語句來避免這些類型的SQL注入。

PHP解決上面的SQL注入問題的程式碼如下：

$accountId = $_GET['account_id'];  
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {   
    $stmt->execute(array('name' => $name));  
 foreach ($stmt as $row) {
 // do something here
 }  
    $stmt->close(); 
}

以上是php如何防止sql注入的詳細內容。更多資訊請關注PHP中文網其他相關文章！