准备好的语句如何防止SQL注入攻击？

使用预准备语句防范 SQL 注入

准备好的语句通过将代码与用户提供的数据完全分离，提供了针对 SQL 注入漏洞的强大防御。

了解 SQL 注入威胁

当不可信数据直接嵌入 SQL 查询中时，就会发生 SQL 注入攻击。 这种危险的做法模糊了代码和数据之间的界限，使攻击者能够注入恶意命令。 一个简单的例子说明了风险：

<code class="language-sql">$query = "SELECT * FROM users WHERE id = '" . $_GET['id'] . "'";</code>

如果 $_GET['id'] 包含 1; DROP TABLE users; --，则结果查询将变为：

<code class="language-sql">SELECT * FROM users WHERE id = '1; DROP TABLE users; --';</code>

此恶意输入执行 DROP TABLE users 命令，可能会破坏数据库。

准备好的语句的机制

准备好的语句通过将查询结构与数据分离来解决此漏洞。 该过程包括两个步骤：

1. 查询编译：数据库接收带有占位符的查询结构：

<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");</code>

? 充当数据的占位符。

2. 数据绑定：然后将数据单独发送：

<code class="language-php">$stmt->execute([$id]);</code>

数据库使用提供的数据执行预编译的查询。重要的是，数据被视为数据，而不是可执行代码，从而防止注入攻击。

PHP/MySQL 实现

这是使用准备好的语句的上一个示例的安全版本：

<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $expectedData); // "i" specifies integer data type
$stmt->execute();</code>

即使$expectedData包含恶意输入，它也会被视为数据值，而不是SQL代码。

重要注意事项

虽然准备好的声明非常有效，但它们并不能提供完整的保护。 它们主要防止数据文字注入。 如果在查询中动态构建标识符（表名或列名），则额外的安全措施至关重要。

以上是准备好的语句如何防止SQL注入攻击？的详细内容。更多信息请关注PHP中文网其他相关文章！