亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

PHP中該怎樣防止SQL注入?

系統 2749 0
原文: PHP中該怎樣防止SQL注入?

  因為用戶的輸入可能是這樣的:

1
value'); DROP TABLE table;--

  那么SQL查詢將變成如下:

1
INSERT INTO ` table ` (` column `) VALUES ( 'value' ); DROP TABLE table ; --')

  應該采取哪些有效的方法來防止SQL注入?

 最佳回答(來自 Theo ):

  使用預處理語句和參數化查詢。預處理語句和參數分別發送到數據庫服務器進行解析,參數將會被當作普通字符處理。這種方式使得攻擊者無法注入惡意的SQL。 你有兩種選擇來實現該方法:

  1、使用PDO:

1
2
3
4
5
6
7
$stmt = $pdo ->prepare( 'SELECT * FROM employees WHERE name = :name' );
?
$stmt ->execute( array ( 'name' => $name ));
?
foreach ( $stmt as $row ) {
???? // do something with $row
}

  2、使用mysqli:

1
2
3
4
5
6
7
8
9
$stmt = $dbConnection->prepare( 'SELECT * FROM employees WHERE name = ?' );
$stmt->bind_param( 's' , $name);
?
$stmt->execute();
?
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
???? // do something with $row
}

 PDO

  注意,在默認情況使用PDO并沒有讓MySQL數據庫執行真正的預處理語句(原因見下文)。為了解決這個問題,你應該禁止PDO模擬預處理語句。一個正確使用PDO創建數據庫連接的例子如下:

1
2
3
4
$dbConnection = new PDO( 'mysql:dbname=dbtest;host=127.0.0.1;charset=utf8' , 'user' , 'pass' );
?
$dbConnection ->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection ->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  在上面的例子中,報錯模式(ATTR_ERRMODE)并不是必須的,但建議加上它。這樣,當發生致命錯誤(Fatal Error)時,腳本就不會停止運行,而是給了程序員一個捕獲PDOExceptions的機會,以便對錯誤進行妥善處理。 然而,第一個setAttribute()調用是必須的,它禁止PDO模擬預處理語句,而使用真正的預處理語句,即有MySQL執行預處理語句。這能確保語句和參數在發送給MySQL之前沒有被PHP處理過,這將使得攻擊者無法注入惡意SQL。了解原因,可參考這篇博文: PDO防注入原理分析以及使用PDO的注意事項 。 注意在老版本的PHP(<5.3.6),你無法通過在PDO的構造器的DSN上設置字符集,參考: silently ignored the charset parameter

 解析

  當你將SQL語句發送給數據庫服務器進行預處理和解析時發生了什么?通過指定占位符(一個?或者一個上面例子中命名的 :name),告訴數據庫引擎你想在哪里進行過濾。當你調用execute的時候,預處理語句將會與你指定的參數值結合。 關鍵點就在這里:參數的值是和經過解析的SQL語句結合到一起,而不是SQL字符串。SQL注入是通過觸發腳本在構造SQL語句時包含惡意的字符串。所以,通過將SQL語句和參數分開,你防止了SQL注入的風險。任何你發送的參數的值都將被當作普通字符串,而不會被數據庫服務器解析。回到上面的例子,如果$name變量的值為?’Sarah’; DELETE FROM employees ,那么實際的查詢將是在 employees 中查找 name 字段值為?’Sarah’; DELETE FROM employees 的記錄。 另一個使用預處理語句的好處是:如果你在同一次數據庫連接會話中執行同樣的語句許多次,它將只被解析一次,這可以提升一點執行速度。 如果你想問插入該如何做,請看下面這個例子(使用PDO):

1
2
3
$preparedStatement = $db->prepare( 'INSERT INTO table (column) VALUES (:column)' );
?
$preparedStatement->execute(array( 'column' => $unsafeValue));

PHP中該怎樣防止SQL注入?


更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦!!!

發表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 一级黄视频 | 久操国产| 香蕉一区二区三区观 | 天天做天天爱天天爽天天综合 | 国产免费久久精品44 | 成人在线一区二区三区 | 亚洲精品亚洲人成毛片不卡 | 高清国产天干天干天干不卡顿 | 91私拍| 久草性视频| 深夜在线免费观看 | 日韩天天摸天天澡天天爽视频 | 高清一级毛片 | 精品特级一级毛片免费观看 | 私人影院免费观看 | 亚洲综合网址 | 人人狠狠综合久久亚洲88 | 免费观看黄色a一级录像 | 中文字幕不卡在线高清 | 久久青草91线频免费观看 | 欧美毛片基地 | 深夜影院老司机69影院 | 夜色99| 国产在热线精品视频国产一二 | 国产一久久香蕉国产线看观看 | 国产夜色视频 | 色婷婷久 | 天天干天天射天天 | 亚洲日韩中文字幕 | 五月花激情网 | 成年人国产网站 | jizz成熟丰满中国妇女 | 四虎精品永久在线网址 | 国产精品亚洲片在线牛牛影视 | 日日干夜夜欢 | 老司机免费福利视频无毒午夜 | 天海翼一区二区三区免费 | 五月天婷婷在线免费观看 | 日本一级毛片免费播 | 天天干天操 | 国产亚洲精品久久yy5099 |