因為用戶的輸入可能是這樣的:
|
1
|
value'); DROP TABLE table;--
|
那么SQL查詢將變成如下:
|
1
|
INSERT
INTO
`
table
` (`
column
`)
VALUES
(
'value'
);
DROP
TABLE
table
;
--')
|
應該采取哪些有效的方法來防止SQL注入?
最佳回答(來自 Theo ):
使用預處理語句和參數化查詢。預處理語句和參數分別發送到數據庫服務器進行解析,參數將會被當作普通字符處理。這種方式使得攻擊者無法注入惡意的SQL。 你有兩種選擇來實現該方法:
1、使用PDO:
|
1
2
3
4
5
6
7
|
$stmt
=
$pdo
->prepare(
'SELECT * FROM employees WHERE name = :name'
);
?
$stmt
->execute(
array
(
'name'
=>
$name
));
?
foreach
(
$stmt
as
$row
) {
????
// do something with $row
}
|
2、使用mysqli:
|
1
2
3
4
5
6
7
8
9
|
$stmt = $dbConnection->prepare(
'SELECT * FROM employees WHERE name = ?'
);
$stmt->bind_param(
's'
, $name);
?
$stmt->execute();
?
$result = $stmt->get_result();
while
($row = $result->fetch_assoc()) {
????
// do something with $row
}
|
PDO
注意,在默認情況使用PDO并沒有讓MySQL數據庫執行真正的預處理語句(原因見下文)。為了解決這個問題,你應該禁止PDO模擬預處理語句。一個正確使用PDO創建數據庫連接的例子如下:
|
1
2
3
4
|
$dbConnection
=
new
PDO(
'mysql:dbname=dbtest;host=127.0.0.1;charset=utf8'
,
'user'
,
'pass'
);
?
$dbConnection
->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection
->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
|
在上面的例子中,報錯模式(ATTR_ERRMODE)并不是必須的,但建議加上它。這樣,當發生致命錯誤(Fatal Error)時,腳本就不會停止運行,而是給了程序員一個捕獲PDOExceptions的機會,以便對錯誤進行妥善處理。 然而,第一個setAttribute()調用是必須的,它禁止PDO模擬預處理語句,而使用真正的預處理語句,即有MySQL執行預處理語句。這能確保語句和參數在發送給MySQL之前沒有被PHP處理過,這將使得攻擊者無法注入惡意SQL。了解原因,可參考這篇博文: PDO防注入原理分析以及使用PDO的注意事項 。 注意在老版本的PHP(<5.3.6),你無法通過在PDO的構造器的DSN上設置字符集,參考: silently ignored the charset parameter 。
解析
當你將SQL語句發送給數據庫服務器進行預處理和解析時發生了什么?通過指定占位符(一個?或者一個上面例子中命名的 :name),告訴數據庫引擎你想在哪里進行過濾。當你調用execute的時候,預處理語句將會與你指定的參數值結合。 關鍵點就在這里:參數的值是和經過解析的SQL語句結合到一起,而不是SQL字符串。SQL注入是通過觸發腳本在構造SQL語句時包含惡意的字符串。所以,通過將SQL語句和參數分開,你防止了SQL注入的風險。任何你發送的參數的值都將被當作普通字符串,而不會被數據庫服務器解析。回到上面的例子,如果$name變量的值為?’Sarah’; DELETE FROM employees ,那么實際的查詢將是在 employees 中查找 name 字段值為?’Sarah’; DELETE FROM employees 的記錄。 另一個使用預處理語句的好處是:如果你在同一次數據庫連接會話中執行同樣的語句許多次,它將只被解析一次,這可以提升一點執行速度。 如果你想問插入該如何做,請看下面這個例子(使用PDO):
|
1
2
3
|
$preparedStatement = $db->prepare(
'INSERT INTO table (column) VALUES (:column)'
);
?
$preparedStatement->execute(array(
'column'
=> $unsafeValue));
|
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
