PHP 开发中有效防御 SQL 注入攻击有哪些好方法？-php教程-PHP中文网

首页

后端开发

php教程

PHP 开发中有效防御 SQL 注入攻击有哪些好方法？

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 04:44 PM

回复内容：

没有编译就没有注入，避免提交上来的数据被编译就可以了，参数绑定就是避免提交数据被编译的方法。使用PDO或者MySQLi，有很多封装好的方便的Class。
例如使用PHP-PDO-MySQL-Class · GitHub（这个Class使用上比较类似Python的MySQLdb）的话，这样就是安全的：

<span class="cp"><?php</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM fruit WHERE name IN (?)"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm1'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm2'</span><span class="p">]));</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM users WHERE name=? and password=?"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'name'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pw'</span><span class="p">]));</span>
<span class="cp">?></span><span class="x"></span>

防SQL注入最好的方法就是千万不要自己拼装SQL命令和参数, 而是用PDO的prepare和bind.
原理就在于要把你的SQL查询命令和传递的参数分开:
> prepare的时候, DB server会把你的SQL语句解析成SQL命令.
> bind的时候, 只是动态传参给DB Server解析好的SQL命令.

其他所有的过滤特殊字符串这种白名单的方式都是浮云. 仅仅防止sql注入的话，使用mysqli或者PDO的预编译就行了。用框架的话，要留意框架内部是怎么处理的。拼接sql语句这种做法早就该进历史的垃圾堆了。

此外PDO的预编译有个bug，在5.3.6之前还是会默认调用mysql_*进行拼接，需要设置$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);。 prepare && bind 一下即可。简单来说，仅仅对于PHP程序的SQL注入，对输入输出的数据进行安全过滤是最主要的方法。
当然说起来简单，真正要做到很复杂，要考虑的细节和因素很多，包括编码、类型、前后逻辑等等，一个处理不慎，反而会弄巧成拙。
因此要做到程序尽可能的安全，需要程序员具有一定的安全意识和知识，从程序的最底层构建上就把安全因素考虑进去。
个人认为国内PHP安全圈的水准还是相当高的，各方面的资料也很多，推荐两个网站，里面有很多相关的资料，有兴趣的可以参考学习下：
http://80vul.com
http://bbs.wolvez.org 一律不能直接使用外来的参数，不要直接构造查询语句，使用statement进行参数填充等等 1、不要随意开启生产环境中Webserver的错误显示。
2、永远不要信任来自用户端的变量输入，有固定格式的变量一定要严格检查对应的格式，没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的SQL语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

来自「Web安全之SQL注入攻击技巧与防范」。给两个办法，匈牙利命名法、注入尝试探测

别瞧不起匈牙利命名法，这货的原意可不是你以为的傻瓜一样在变量名后加上类型名。真正的做法是：未做escape过滤的字符串命令按照你自己的习惯命名，escape后的字符串加上类似_f或_ss这样的suffix。习惯后在写代码的时候自然就会要求传入的字符串都是过滤过的。

注入尝试探测则比较简单：作为黑客来说如果需要进行攻击，会进行多次注入尝试，期间几乎可以肯定会构造出一个无效的sql语句，执行时就会报错了。自己写个数据库的query函数进行封装，如果发现有执行无效的sql语句则通过邮件或其他形式进行报警。

当然…担心SQL注入，都是用拼接字符串做SQL查询的土鳖程序员。正常的程序员会去找个ORM用。我采用的方法是：
1.对团队成员进行安全培训，找出最常见的攻击方法逐个指导代码内屏蔽方式
2.用nginx之类的反向代理进行url参数过滤，基本能挡住90%的攻击
3.对磁盘文件进行高度权限设定
4.计划任务的脚本对程序源代码定期（比如每小时）执行遍历搜索，一般水平的攻击，都逃不过这个排查
5.对nginx过滤出的危险url进行程序自动分析，对于超过阈值的ip直接防火墙屏蔽

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP的当前状态：查看网络开发趋势Apr 13, 2025 am 12:20 AM

PHP在现代Web开发中仍然重要，尤其在内容管理和电子商务平台。1)PHP拥有丰富的生态系统和强大框架支持，如Laravel和Symfony。2)性能优化可通过OPcache和Nginx实现。3)PHP8.0引入JIT编译器，提升性能。4)云原生应用通过Docker和Kubernetes部署，提高灵活性和可扩展性。

PHP与其他语言：比较Apr 13, 2025 am 12:19 AM

PHP适合web开发，特别是在快速开发和处理动态内容方面表现出色，但不擅长数据科学和企业级应用。与Python相比，PHP在web开发中更具优势，但在数据科学领域不如Python；与Java相比，PHP在企业级应用中表现较差，但在web开发中更灵活；与JavaScript相比，PHP在后端开发中更简洁，但在前端开发中不如JavaScript。

PHP与Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有优势，适合不同场景。1.PHP适用于web开发，提供内置web服务器和丰富函数库。2.Python适合数据科学和机器学习，语法简洁且有强大标准库。选择时应根据项目需求决定。

PHP：网络开发的关键语言Apr 13, 2025 am 12:08 AM

PHP是一种广泛应用于服务器端的脚本语言，特别适合web开发。1.PHP可以嵌入HTML，处理HTTP请求和响应，支持多种数据库。2.PHP用于生成动态网页内容，处理表单数据，访问数据库等，具有强大的社区支持和开源资源。3.PHP是解释型语言，执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时，可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7