如何防止 PHP 应用程序中的 SQL 注入？

防止PHP中的SQL注入

SQL注入是一种漏洞，当未经修改的用户输入错误地插入SQL查询时就会出现这种漏洞。这可能导致攻击者执行任意SQL代码，从而对应用程序造成灾难性后果。

为了防止SQL注入，至关重要的是将数据与SQL分离，确保数据始终保持为数据，而绝不会被SQL解析器解释为命令。这可以通过使用带参数的预处理语句来实现，预处理语句将SQL查询与任何参数分开发送到数据库服务器进行解析。这样，攻击者就无法注入恶意SQL。

有两种方法可以实现：

• 使用PDO（适用于任何受支持的数据库驱动程序）

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 处理 $row
}

• 使用MySQLi（适用于MySQL）

PHP 8.2 ：

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

PHP 8.1及更低版本：

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定变量类型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

如果您连接到非MySQL数据库，您可以参考特定于驱动程序的第二个选项（例如，PostgreSQL的pg_prepare()和pg_execute()）。PDO是一个通用的选择。

正确的连接配置

当使用PDO访问MySQL数据库时，默认情况下不会使用真正的预处理语句。为了解决这个问题，需要禁用预处理语句的模拟。以下是如何使用PDO创建连接的示例：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

对于MySQLi，需要执行相同的操作：

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 编码

说明

您传递给prepare的SQL查询由数据库服务器解析和编译。通过指定参数（无论是?还是命名参数，如上面的:name示例），您告诉数据库内核您想要根据什么进行过滤。然后，当调用execute时，预处理查询与您提供的参数值结合。

重要的是，参数值与已编译的查询结合，而不是与SQL字符串结合。SQL注入通过欺骗脚本，在创建要发送到数据库的SQL时包含恶意字符串来工作。因此，通过将实际的SQL与参数分开发送，您可以降低获得意外结果的风险。

使用预处理语句发送的任何参数都将被简单地视为字符串（尽管数据库内核可能会执行一些优化，因此参数也可能是数字）。在上面的示例中，如果变量$name包含'Sarah'; DELETE FROM employees，结果将只是搜索字符串"'Sarah'; DELETE FROM employees "，您的表不会被清空。

使用预处理语句的另一个优点是，如果您在同一个会话中多次执行相同的查询，则只解析和编译一次，从而提高速度。

以上是如何防止 PHP 应用程序中的 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！