首頁 >後端開發 >php教程 >一文解析PHP的預處理查詢怎麼防止SQL注入

一文解析PHP的預處理查詢怎麼防止SQL注入

藏色散人
藏色散人轉載
2023-03-10 15:32:443601瀏覽

這篇文章為大家帶來了關於php的相關知識,其中主要跟大家聊一聊什麼是預處理語句? PHP的預處理查詢是如何防止SQL注入的?有興趣的朋友下面一起來看看吧,希望對大家有幫助。

一文解析PHP的預處理查詢怎麼防止SQL注入

PHP的預處理查詢是如何防止SQL注入的?

目前最有效的防止 sql 注入的方式使用預處理語句和參數化查詢。

以最常用的 PHP PDO 擴充為例。

官方文件中對預處理語句的介紹

#什麼是預處理語句?

可以把它看作是想要執行的 SQL 的一種編譯過的模板,它可以使用變數參數來客製化。

預處理語句的兩大好處:

1;查詢只需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好後,資料庫將分析、編譯和最佳化執行該查詢的計畫。對於複雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重複相同的查詢,那麼該過程將大大降低應用程式的速度。透過使用預處理語句,可以避免重複分析 / 編譯 / 最佳化週期。簡言之,預處理語句佔用較少的資源,因而運作得更快。

2.提供給預處理語句的參數不需要用引號括起來,驅動程式會自動處理。如果應用程式只使用預處理語句,可以確保不會發生 SQL 注入。 (然而,如果查詢的其他部分是由未轉義的輸入來建構的,則仍有 SQL 注入的風險)。

PDO 的特性在於驅動程式不支援預處理的時候,PDO 將模擬處理,此時的預處理-參數化查詢過程在 PDO 的模擬器中完成。 PDO 模擬器根據 DSN 中指定的字元集對輸入參數進行本機轉義,然後拼接成完整的 SQL 語句,傳送給 MySQL 服務端。

所以,PDO 模擬器能否正確的轉義輸入參數,是攔截 SQL 注入的關鍵。

小於 5.3.6 的 PHP 版本,DSN (Data Source Name) 是預設忽略 charset 參數的。這時如果使用 PDO 的本地轉義,仍然可能導致 SQL 注入。

因此,像 Laravel 框架底層會直接設定 PDO::ATTR_EMULATE_PREPARES=false,來確保 SQL 語句和參數值在被傳送到 MySQL 伺服器之前不會被 PHP 解析。

PHP 的實作

// 查询
$calories = 150;
$colour = 'red';  
$sth = $dbh->prepare(&#39;SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour&#39;);  
$sth->bindValue(&#39;:calories&#39;, $calories, PDO::PARAM_INT);  
$sth->bindValue(&#39;:colour&#39;, $colour, PDO::PARAM_STR);  
$sth->execute();
// 插入,修改,删除
$preparedStmt = $db->prepare(&#39;INSERT INTO table (column) VALUES (:column)&#39;);
$preparedStmt->execute(array(&#39;:column&#39; => $unsafeValue));

Laravel 的底層實作

// 查询的实现
public function select($query, $bindings = [], $useReadPdo = true)
{
    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {
        if ($this->pretending()) {
                return [];
        }
        $statement = $this->prepared(
                $this->getPdoForSelect($useReadPdo)->prepare($query)
        );
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        return $statement->fetchAll();
    });
}
// 修改删除的实现
public function affectingStatement($query, $bindings = [])
{
    return $this->run($query, $bindings, function ($query, $bindings) {
        if ($this->pretending()) {
                return 0;
        }
        $statement = $this->getPdo()->prepare($query);
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        $this->recordsHaveBeenModified(
                ($count = $statement->rowCount()) > 0
        );
        return $count;
    });
}

推薦學習:《PHP影片教學

以上是一文解析PHP的預處理查詢怎麼防止SQL注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:learnku.com。如有侵權,請聯絡admin@php.cn刪除