最实用有效的PHP中防止SQL注入 -php手册-PHP中文網

首頁

php教程

php手册

最实用有效的PHP中防止SQL注入

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 02, 2016 am 09:13 AM

foreach字元處理

SQL注入攻击的概念及危害我相信大家都有所了解，如果不了解的请自己度娘，下面我们来学习一下在php中如何有效的防止

问题描述：

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句，那么应用将很可能遭受到SQL注入攻击，正如下面的例子：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的：

value'); DROP TABLE table;--

那么SQL查询将变成如下：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

应该采取哪些有效的方法来防止SQL注入？

最佳回答（来自Theo）：

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析，参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。你有两种选择来实现该方法：

1、使用PDO：

$stmt = $pdo->prepare(&#39;SELECT * FROM employees WHERE name = :name&#39;);
$stmt->execute(array(&#39;name&#39; => $name));
foreach ($stmt as $row) {
    // do something with $row
}

2、使用mysqli：

$stmt = $dbConnection->prepare(&#39;SELECT * FROM employees WHERE name = ?&#39;);
$stmt->bind_param(&#39;s&#39;, $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}

PDO

注意，在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句（原因见下文）。为了解决这个问题，你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下：

$dbConnection = new PDO(&#39;mysql:dbname=dbtest;host=127.0.0.1;charset=utf8&#39;, &#39;user&#39;, &#39;pass&#39;);
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中，报错模式(ATTR_ERRMODE)并不是必须的，但建议加上它。这样，当发生致命错误(Fatal Error)时，脚本就不会停止运行，而是给了程序员一个捕获PDOExceptions的机会，以便对错误进行妥善处理。然而，第一个setAttribute()调用是必须的，它禁止PDO模拟预处理语句，而使用真正的预处理语句，即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过，这将使得攻击者无法注入恶意SQL。了解原因，可参考这篇博文：PDO防注入原理分析以及使用PDO的注意事项。注意在老版本的PHP(

解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么？通过指定占位符（一个?或者一个上面例子中命名的 :name），告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候，预处理语句将会与你指定的参数值结合。关键点就在这里：参数的值是和经过解析的SQL语句结合到一起，而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以，通过将SQL语句和参数分开，你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串，而不会被数据库服务器解析。回到上面的例子，如果$name变量的值为 ’Sarah’; DELETE FROM employees ，那么实际的查询将是在 employees 中查找 name 字段值为 ’Sarah’; DELETE FROM employees 的记录。另一个使用预处理语句的好处是：如果你在同一次数据库连接会话中执行同样的语句许多次，它将只被解析一次，这可以提升一点执行速度。如果你想问插入该如何做，请看下面这个例子（使用PDO）：

$preparedStatement = $db->prepare(&#39;INSERT INTO table (column) VALUES (:column)&#39;);
$preparedStatement->execute(array(&#39;column&#39; => $unsafeValue));

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Java ArrayList遍历时使用foreach和iterator删除元素的区别是什么？Apr 27, 2023 pm 03:40 PM

一、Iterator和foreach的区别多态差别(foreach底层就是Iterator)Iterator是一个接口类型，他不关心集合或者数组的类型;for和foreach都需要先知道集合的类型，甚至是集合内元素的类型;1.为啥说foreach底层就是Iterator编写的代码：反编译代码：二、foreach与iterator时remove的区别先来看阿里java开发手册但1的时候不会报错，2的时候就会报错(java.util.ConcurrentModificationException)首

php如何判断foreach循环到第几个Jul 10, 2023 pm 02:18 PM

php判断foreach循环到第几个的步骤：1、创建一个“$fruits”的数组；2、创建一个计数器变量“$counter”初始值为0；3、使用“foreach”循环遍历数组，并在循环体中增加计数器变量的值，再输出每个元素和它们的索引；4、在“foreach”循环体外输出计数器变量的值，以确认循环到了第几个元素。

PHP返回一个键值翻转后的数组Mar 21, 2024 pm 02:10 PM

这篇文章将为大家详细讲解有关PHP返回一个键值翻转后的数组，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP键值翻转数组键值翻转是一种对数组进行的操作，它将数组中的键和值进行交换，生成一个新的数组，其中原始键作为值，原始值作为键。实现方法在php中，可以通过以下方法对数组进行键值翻转：array_flip()函数：array_flip()函数专门用于键值翻转操作。它接收一个数组作为参数，并返回一个新的数组，其中键和值已交换。$original_array=[

PHP返回数组中的当前元素Mar 21, 2024 pm 12:36 PM

这篇文章将为大家详细讲解有关PHP返回数组中的当前元素，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。获取PHP数组中的当前元素php为访问和操作数组提供了多种方法，其中包括获取数组中的当前元素。以下介绍几种常用的技术：1.current()函数current()函数返回数组内部指针当前指向的元素。指针最初指向数组的第一个元素。使用以下语法：$currentElement=current($array);2.key()函数key()函数返回数组内部指针当前指向元

foreach和for循环的区别是什么Jan 05, 2023 pm 04:26 PM

区别：1、for通过索引来循环遍历每一个数据元素，而forEach通过JS底层程序来循环遍历数组的数据元素；2、for可以通过break关键词来终止循环的执行，而forEach不可以；3、for可以通过控制循环变量的数值来控制循环的执行，而forEach不行；4、for在循环外可以调用循环变量，而forEach在循环外不能调用循环变量；5、for的执行效率要高于forEach。

Tomcat中如何正确处理中文字符编码Dec 28, 2023 pm 01:20 PM

如何在Tomcat中正确处理中文字符编码在Web开发过程中，经常会遇到处理中文字符编码的问题。Tomcat作为常用的JavaWeb服务器，在处理中文字符编码方面也有一些要注意的地方。本文将介绍如何在Tomcat中正确地处理中文字符编码，并提供相应的代码示例。一、理解字符编码首先，我们需要理解字符编码的概念。字符编码是将字符映射为二进制数据的一种方式。常见的

如何使用forEach函数遍历对象的属性？Nov 18, 2023 pm 06:10 PM

如何使用forEach函数遍历对象的属性？在JavaScript中，我们经常需要对对象的属性进行遍历操作。如果你想使用一种简洁的方法来遍历对象的属性，forEach函数是一个非常好的选择。在本文中，我们将介绍如何使用forEach函数来遍历对象的属性，并提供具体的代码示例。首先，让我们来了解一下forEach函数的基本用法。forEach函数是Java

PHP 编程小窍门：学会简单的右侧第一个字符处理方法Mar 02, 2024 am 08:09 AM

PHP编程小窍门：学会简单的右侧第一个字符处理方法在PHP编程中，经常会遇到需要处理字符串的情况。其中，对于字符串中右侧第一个字符的处理是一个常见需求。本文将介绍一个简单而实用的方法，帮助你轻松处理字符串右侧第一个字符的操作。我们将结合具体的代码示例，让你更好地掌握这个技巧。在PHP中，可以使用内置的字符串处理函数来获取字符串的右侧第一个字符。其中，常用的

See all articles