搜索

首页 >数据库 >mysql教程 >如何防止 PHP 应用程序中的 SQL 注入?

如何防止 PHP 应用程序中的 SQL 注入?

Linda Hamilton
Linda Hamilton原创
2025-01-25 22:17:08295浏览

How Can I Prevent SQL Injection in PHP Applications?

防止PHP中的SQL注入

SQL注入是一种漏洞,当未经修改的用户输入错误地插入SQL查询时就会出现这种漏洞。这可能导致攻击者执行任意SQL代码,从而对应用程序造成灾难性后果。

为了防止SQL注入,至关重要的是将数据与SQL分离,确保数据始终保持为数据,而绝不会被SQL解析器解释为命令。这可以通过使用带参数的预处理语句来实现,预处理语句将SQL查询与任何参数分开发送到数据库服务器进行解析。这样,攻击者就无法注入恶意SQL。

有两种方法可以实现:

  • 使用PDO(适用于任何受支持的数据库驱动程序)
<code class="language-php">$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 处理 $row
}</code>
  • 使用MySQLi(适用于MySQL)

PHP 8.2 :

<code class="language-php">$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}</code>

PHP 8.1及更低版本:

<code class="language-php">$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定变量类型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}</code>

如果您连接到非MySQL数据库,您可以参考特定于驱动程序的第二个选项(例如,PostgreSQL的pg_prepare()pg_execute())。PDO是一个通用的选择。

正确的连接配置

当使用PDO访问MySQL数据库时,默认情况下不会使用真正的预处理语句。为了解决这个问题,需要禁用预处理语句的模拟。以下是如何使用PDO创建连接的示例:

<code class="language-php">$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);</code>

对于MySQLi,需要执行相同的操作:

<code class="language-php">mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 编码</code>

说明

您传递给prepare的SQL查询由数据库服务器解析和编译。通过指定参数(无论是?还是命名参数,如上面的:name示例),您告诉数据库内核您想要根据什么进行过滤。然后,当调用execute时,预处理查询与您提供的参数值结合。

重要的是,参数值与已编译的查询结合,而不是与SQL字符串结合。SQL注入通过欺骗脚本,在创建要发送到数据库的SQL时包含恶意字符串来工作。因此,通过将实际的SQL与参数分开发送,您可以降低获得意外结果的风险。

使用预处理语句发送的任何参数都将被简单地视为字符串(尽管数据库内核可能会执行一些优化,因此参数也可能是数字)。在上面的示例中,如果变量$name包含'Sarah'; DELETE FROM employees,结果将只是搜索字符串"'Sarah'; DELETE FROM employees ",您的表不会被清空。

使用预处理语句的另一个优点是,如果您在同一个会话中多次执行相同的查询,则只解析和编译一次,从而提高速度。

以上是如何防止 PHP 应用程序中的 SQL 注入?的详细内容。更多信息请关注PHP中文网其他相关文章!

php sql mysql mysqli pdo 字符串 delete postgresql 数据库
声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
上一篇:How to Effectively Prevent SQL Injection Vulnerabilities in PHP Applications?下一篇:How Can Prepared Statements and Parameterized Queries Prevent SQL Injection in PHP Applications?

相关文章

查看更多