PHP 开发中有效防御 SQL 注入攻击有哪些好方法？-php教程-PHP中文網

首頁

後端開發

php教程

PHP 开发中有效防御 SQL 注入攻击有哪些好方法？

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 04:44 PM

回复内容：

没有编译就没有注入，避免提交上来的数据被编译就可以了，参数绑定就是避免提交数据被编译的方法。使用PDO或者MySQLi，有很多封装好的方便的Class。
例如使用PHP-PDO-MySQL-Class · GitHub（这个Class使用上比较类似Python的MySQLdb）的话，这样就是安全的：

<span class="cp"><?php</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM fruit WHERE name IN (?)"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm1'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm2'</span><span class="p">]));</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM users WHERE name=? and password=?"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'name'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pw'</span><span class="p">]));</span>
<span class="cp">?></span><span class="x"></span>

防SQL注入最好的方法就是千万不要自己拼装SQL命令和参数, 而是用PDO的prepare和bind.
原理就在于要把你的SQL查询命令和传递的参数分开:
> prepare的时候, DB server会把你的SQL语句解析成SQL命令.
> bind的时候, 只是动态传参给DB Server解析好的SQL命令.

其他所有的过滤特殊字符串这种白名单的方式都是浮云. 仅仅防止sql注入的话，使用mysqli或者PDO的预编译就行了。用框架的话，要留意框架内部是怎么处理的。拼接sql语句这种做法早就该进历史的垃圾堆了。

此外PDO的预编译有个bug，在5.3.6之前还是会默认调用mysql_*进行拼接，需要设置$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);。 prepare && bind 一下即可。简单来说，仅仅对于PHP程序的SQL注入，对输入输出的数据进行安全过滤是最主要的方法。
当然说起来简单，真正要做到很复杂，要考虑的细节和因素很多，包括编码、类型、前后逻辑等等，一个处理不慎，反而会弄巧成拙。
因此要做到程序尽可能的安全，需要程序员具有一定的安全意识和知识，从程序的最底层构建上就把安全因素考虑进去。
个人认为国内PHP安全圈的水准还是相当高的，各方面的资料也很多，推荐两个网站，里面有很多相关的资料，有兴趣的可以参考学习下：
http://80vul.com
http://bbs.wolvez.org 一律不能直接使用外来的参数，不要直接构造查询语句，使用statement进行参数填充等等 1、不要随意开启生产环境中Webserver的错误显示。
2、永远不要信任来自用户端的变量输入，有固定格式的变量一定要严格检查对应的格式，没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的SQL语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

来自「Web安全之SQL注入攻击技巧与防范」。给两个办法，匈牙利命名法、注入尝试探测

别瞧不起匈牙利命名法，这货的原意可不是你以为的傻瓜一样在变量名后加上类型名。真正的做法是：未做escape过滤的字符串命令按照你自己的习惯命名，escape后的字符串加上类似_f或_ss这样的suffix。习惯后在写代码的时候自然就会要求传入的字符串都是过滤过的。

注入尝试探测则比较简单：作为黑客来说如果需要进行攻击，会进行多次注入尝试，期间几乎可以肯定会构造出一个无效的sql语句，执行时就会报错了。自己写个数据库的query函数进行封装，如果发现有执行无效的sql语句则通过邮件或其他形式进行报警。

当然…担心SQL注入，都是用拼接字符串做SQL查询的土鳖程序员。正常的程序员会去找个ORM用。我采用的方法是：
1.对团队成员进行安全培训，找出最常见的攻击方法逐个指导代码内屏蔽方式
2.用nginx之类的反向代理进行url参数过滤，基本能挡住90%的攻击
3.对磁盘文件进行高度权限设定
4.计划任务的脚本对程序源代码定期（比如每小时）执行遍历搜索，一般水平的攻击，都逃不过这个排查
5.对nginx过滤出的危险url进行程序自动分析，对于超过阈值的ip直接防火墙屏蔽

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP的當前狀態：查看網絡開發趨勢Apr 13, 2025 am 12:20 AM

PHP在現代Web開發中仍然重要，尤其在內容管理和電子商務平台。 1)PHP擁有豐富的生態系統和強大框架支持，如Laravel和Symfony。 2)性能優化可通過OPcache和Nginx實現。 3)PHP8.0引入JIT編譯器，提升性能。 4)雲原生應用通過Docker和Kubernetes部署，提高靈活性和可擴展性。

PHP與其他語言：比較Apr 13, 2025 am 12:19 AM

PHP適合web開發，特別是在快速開發和處理動態內容方面表現出色，但不擅長數據科學和企業級應用。與Python相比，PHP在web開發中更具優勢，但在數據科學領域不如Python；與Java相比，PHP在企業級應用中表現較差，但在web開發中更靈活；與JavaScript相比，PHP在後端開發中更簡潔，但在前端開發中不如JavaScript。

PHP與Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢，適合不同場景。 1.PHP適用於web開發，提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習，語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP：網絡開發的關鍵語言Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言，特別適合web開發。 1.PHP可以嵌入HTML，處理HTTP請求和響應，支持多種數據庫。 2.PHP用於生成動態網頁內容，處理表單數據，訪問數據庫等，具有強大的社區支持和開源資源。 3.PHP是解釋型語言，執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時，可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP：許多網站的基礎Apr 13, 2025 am 12:07 AM

PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用，適合初學者。 2)擁有龐大的開發者社區，資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成，簡化開發部署。

超越炒作：評估當今PHP的角色Apr 12, 2025 am 12:17 AM

PHP在現代編程中仍然是一個強大且廣泛使用的工具，尤其在web開發領域。 1)PHP易用且與數據庫集成無縫，是許多開發者的首選。 2)它支持動態內容生成和麵向對象編程，適合快速創建和維護網站。 3)PHP的性能可以通過緩存和優化數據庫查詢來提升，其廣泛的社區和豐富生態系統使其在當今技術棧中仍具重要地位。