PHP中如何防止SQL注入攻击？

Question

如果用户输入未经修改地插入到SQL查询中，则应用程序将变得容易受到SQL注入攻击，就像以下示例中所示：

<code>$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
</code>

这是因为用户可以输入类似于 value'); DROP TABLE table;-- 的内容，查询将变成：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

如何防止这种情况发生？

Answer 1

要使用参数化查询，您需要使用Mysqli或PDO。要使用mysqli重写您的示例，我们需要类似以下的代码。

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("服务器", "用户名", "密码", "数据库名称");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO 表名 (列名) VALUES (?)");
// "s"表示数据库期望一个字符串
$stmt->bind_param("s", $variable);
$stmt->execute();

您可能需要阅读的关键函数是mysqli::prepare。

此外，正如其他人建议的那样，您可能会发现使用PDO等更高级的抽象层会更有用/更容易。

请注意，您提到的情况相当简单，更复杂的情况可能需要更复杂的方法。特别是：

• 如果您想根据用户输入更改SQL的结构，参数化查询将无法帮助您，并且所需的转义不包含在mysql_real_escape_string中。在这种情况下，最好将用户的输入通过白名单传递，以确保只允许通过“安全”值。

Answer 2

无论您使用哪个数据库，避免SQL注入攻击的正确方法是将数据与SQL分离，使数据保持数据的形式，永远不会被SQL解析器解释为命令。可以创建带有正确格式化数据部分的SQL语句，但如果您不完全了解细节，您应该始终使用预处理语句和参数化查询。这些是将SQL语句与任何参数分开发送并由数据库服务器分析的SQL语句。这样，攻击者就无法注入恶意SQL。

基本上有两种方法可以实现这一点：

1. 使用PDO（适用于任何支持的数据库驱动程序）：

   $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
   $stmt->execute([ 'name' => $name ]);
   
   foreach ($stmt as $row) {
       // 对$row进行操作
   }
   

2. 使用MySQLi（适用于MySQL）：
   自PHP 8.2+以来，我们可以使用execute_query()方法来准备、绑定参数和执行SQL语句：

   $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
    while ($row = $result->fetch_assoc()) {
        // 对$row进行操作
    }
   

   在PHP8.1之前：

    $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
    $stmt->bind_param('s', $name); // 's'指定变量类型 => 'string'
    $stmt->execute();
    $result = $stmt->get_result();
    while ($row = $result->fetch_assoc()) {
        // 对$row进行操作
    }
   

如果您连接的是MySQL以外的数据库，可以参考特定于驱动程序的第二个选项（例如，对于PostgreSQL，可以使用pg_prepare()和pg_execute()）。PDO是通用选项。

---

正确设置连接

PDO

请注意，当使用PDO访问MySQL数据库时，默认情况下不会使用真正的预处理语句。为了解决这个问题，您需要禁用预处理语句的模拟。以下是使用PDO创建连接的示例：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的示例中，错误模式并不是严格必需的，但建议添加它。这样PDO将通过抛出PDOException来通知您所有的MySQL错误。

然而，必须的是第一行setAttribute()，它告诉PDO禁用模拟的预处理语句并使用真正的预处理语句。这样确保语句和值在发送到MySQL服务器之前不会由PHP解析（使潜在的攻击者无法注入恶意SQL）。

虽然您可以在构造函数的选项中设置charset，但需要注意的是，“旧版”PHP（5.3.6之前）在DSN中静默忽略了charset参数。

Mysqli

对于mysqli，我们需要遵循相同的例程：

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集

---

解释

您传递给prepare的SQL语句由数据库服务器解析和编译。通过指定参数（在上面的示例中，可以是?或命名参数，如:name），您告诉数据库引擎您要在哪里进行过滤。然后，当您调用execute时，准备好的语句将与指定的参数值组合。

这里重要的是参数值与编译后的语句组合，而不是与SQL字符串组合。SQL注入是通过欺骗脚本在创建要发送到数据库的SQL时包含恶意字符串来工作的。因此，通过将实际的SQL与参数分开发送，可以限制意外结果的风险。

使用预处理语句发送的任何参数都将被视为字符串（尽管数据库引擎可能会对参数进行一些优化，因此参数最终可能是数字）。在上面的示例中，如果$name变量包含'Sarah'; DELETE FROM employees，结果将仅是搜索字符串"'Sarah'; DELETE FROM employees"，您将不会得到一个空表。

使用预处理语句的另一个好处是，如果在同一会话中多次执行相同的语句，它只会被解析和编译一次，从而提高一些速度。

哦，既然您问到如何对插入进行操作，这里是一个示例（使用PDO）：

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute([ 'column' => $unsafeValue ]);

---

预处理语句是否适用于动态查询？

虽然您仍然可以对查询参数使用预处理语句，但动态查询本身的结构无法进行参数化，并且某些查询功能也无法进行参数化。

对于这些特定的场景，最好的做法是使用白名单过滤器来限制可能的值。

// 值白名单
// $dir只能是'DESC'，否则将为'ASC'
if (empty($dir) || $dir !== 'DESC') {
   $dir = 'ASC';
}