PHP中怎样防止SQL注入分析


Posted in PHP onOctober 23, 2014

本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下:

一、问题描述:

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

$unsafe_variable = $_POST['user_input']; 

 

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的:

value'); DROP TABLE table;--

那么SQL查询将变成如下:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

对此应该采取哪些有效的方法来防止SQL注入?

二、解决方法分析:

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array('name' => $name));

 

foreach ($stmt as $row) {

    // do something with $row

}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

    // do something with $row

}

三、PDO

注意,在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句(原因见下文)。为了解决这个问题,你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中,报错模式(ATTR_ERRMODE)并不是必须的,但建议加上它。这样,当发生致命错误(Fatal Error)时,脚本就不会停止运行,而是给了程序员一个捕获PDOExceptions的机会,以便对错误进行妥善处理。 然而,第一个setAttribute()调用是必须的,它禁止PDO模拟预处理语句,而使用真正的预处理语句,即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过,这将使得攻击者无法注入恶意SQL。了解原因,可参考前面这篇文章:PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6),你无法通过在PDO的构造器的DSN上设置字符集,参考:silently ignored the charset parameter 。

四、解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么?通过指定占位符(一个?或者一个上面例子中命名的 :name),告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候,预处理语句将会与你指定的参数值结合。 关键点就在这里:参数的值是和经过解析的SQL语句结合到一起,而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以,通过将SQL语句和参数分开,你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串,而不会被数据库服务器解析。回到上面的例子,如果$name变量的值为 'Sarah'; DELETE FROM employees ,那么实际的查询将是在 employees 中查找 name 字段值为 'Sarah'; DELETE FROM employees 的记录。 另一个使用预处理语句的好处是:如果你在同一次数据库连接会话中执行同样的语句许多次,它将只被解析一次,这可以提升一点执行速度。 如果你想问插入该如何做,请看下面这个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

 

$preparedStatement->execute(array('column' => $unsafeValue));

希望本文所述对大家的PHP程序设计有所帮助。

PHP 相关文章推荐
php对gzip文件或者字符串解压实例参考
Jul 25 PHP
php 搜索框提示(自动完成)实例代码
Feb 05 PHP
curl不使用文件存取cookie php使用curl获取cookie示例
Jan 26 PHP
ThinkPHP自动完成中使用函数与回调方法实例
Nov 29 PHP
PHP中的traits简单使用实例
May 13 PHP
如何利用http协议发布博客园博文评论
Aug 03 PHP
PHP中key和current,next的联合运用实例分析
Mar 29 PHP
PHP实现的堆排序算法详解
Aug 17 PHP
PHP设计模式之装饰器模式实例详解
Feb 07 PHP
php如何计算两坐标点之间的距离
Dec 29 PHP
thinkphp5.1框架容器与依赖注入实例分析
Jul 23 PHP
Laravel 创建可以传递参数 Console服务的例子
Oct 14 PHP
PDO防注入原理分析以及使用PDO的注意事项总结
Oct 23 #PHP
常用PHP框架功能对照表
Oct 23 #PHP
C/S和B/S两种架构区别与优缺点分析
Oct 23 #PHP
php中字符串和正则表达式详解
Oct 23 #PHP
PHP制作3D扇形统计图以及对图片进行缩放操作实例
Oct 23 #PHP
PHP制作图形验证码代码分享
Oct 23 #PHP
PHP链接MySQL的常用扩展函数
Oct 23 #PHP
You might like
PHP去除数组中重复的元素并按键名排序函数
2008/08/18 PHP
阿里云Win2016安装Apache和PHP环境图文教程
2018/03/11 PHP
Django中通过定时任务触发页面静态化的处理方式
2018/08/29 PHP
PHP date_default_timezone_set()设置时区操作实例分析
2020/05/16 PHP
jquery简单瀑布流实现原理及ie8下测试代码
2013/01/23 Javascript
表格单元格交错着色实现思路及代码
2013/04/01 Javascript
JavaScript插件化开发教程(六)
2015/02/01 Javascript
javascript制作幻灯片(360度全景图片)
2015/07/28 Javascript
Jquery日历插件制作简单日历
2015/10/28 Javascript
javascript常用函数(2)
2015/11/05 Javascript
基于jQuery的Web上传插件Uploadify使用示例
2016/05/19 Javascript
jQuery编写设置和获取颜色的插件
2017/01/09 Javascript
jQuery+ajax实现局部刷新的两种方法
2017/06/08 jQuery
浅谈vue的iview列表table render函数设置DOM属性值的方法
2017/09/30 Javascript
微信小程序实现animation动画
2018/01/26 Javascript
Windows下Node爬虫神器Puppeteer安装记
2019/01/09 Javascript
JavaScript 实现自己的安卓手机自动化工具脚本(推荐)
2020/05/13 Javascript
Python3写入文件常用方法实例分析
2015/05/22 Python
Python3导入自定义模块的三种方法详解
2018/04/13 Python
Python装饰器知识点补充
2018/05/28 Python
使用Python中的reduce()函数求积的实例
2019/06/28 Python
python+opencv实现车牌定位功能(实例代码)
2019/12/24 Python
Python list运算操作代码实例解析
2020/01/20 Python
python如何求100以内的素数
2020/05/27 Python
Python 数据的累加与统计的示例代码
2020/08/03 Python
用HTML5实现网站在windows8中贴靠的方法
2013/04/21 HTML / CSS
Giglio美国站:意大利奢侈品购物网
2018/02/10 全球购物
捷克鲜花配送:Florea.cz
2018/10/29 全球购物
平面设计求职信
2014/03/10 职场文书
工作简报怎么写
2015/07/21 职场文书
导游词之重庆渣滓洞
2020/01/08 职场文书
如何搭建 MySQL 高可用高性能集群
2021/06/21 MySQL
Spring实现内置监听器
2021/07/09 Java/Android
详细了解MVC+proxy
2021/07/09 Java/Android
golang内置函数len的小技巧
2021/07/25 Golang
mysql 8.0.27 绿色解压版安装教程及配置方法
2022/04/20 MySQL