PHP中怎样防止SQL注入分析


Posted in PHP onOctober 23, 2014

本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下:

一、问题描述:

如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

$unsafe_variable = $_POST['user_input']; 

 

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

因为用户的输入可能是这样的:

value'); DROP TABLE table;--

那么SQL查询将变成如下:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

对此应该采取哪些有效的方法来防止SQL注入?

二、解决方法分析:

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

 

$stmt->execute(array('name' => $name));

 

foreach ($stmt as $row) {

    // do something with $row

}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

    // do something with $row

}

三、PDO

注意,在默认情况使用PDO并没有让MySQL数据库执行真正的预处理语句(原因见下文)。为了解决这个问题,你应该禁止PDO模拟预处理语句。一个正确使用PDO创建数据库连接的例子如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的例子中,报错模式(ATTR_ERRMODE)并不是必须的,但建议加上它。这样,当发生致命错误(Fatal Error)时,脚本就不会停止运行,而是给了程序员一个捕获PDOExceptions的机会,以便对错误进行妥善处理。 然而,第一个setAttribute()调用是必须的,它禁止PDO模拟预处理语句,而使用真正的预处理语句,即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL之前没有被PHP处理过,这将使得攻击者无法注入恶意SQL。了解原因,可参考前面这篇文章:PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6),你无法通过在PDO的构造器的DSN上设置字符集,参考:silently ignored the charset parameter 。

四、解析

当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么?通过指定占位符(一个?或者一个上面例子中命名的 :name),告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候,预处理语句将会与你指定的参数值结合。 关键点就在这里:参数的值是和经过解析的SQL语句结合到一起,而不是SQL字符串。SQL注入是通过触发脚本在构造SQL语句时包含恶意的字符串。所以,通过将SQL语句和参数分开,你防止了SQL注入的风险。任何你发送的参数的值都将被当作普通字符串,而不会被数据库服务器解析。回到上面的例子,如果$name变量的值为 'Sarah'; DELETE FROM employees ,那么实际的查询将是在 employees 中查找 name 字段值为 'Sarah'; DELETE FROM employees 的记录。 另一个使用预处理语句的好处是:如果你在同一次数据库连接会话中执行同样的语句许多次,它将只被解析一次,这可以提升一点执行速度。 如果你想问插入该如何做,请看下面这个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

 

$preparedStatement->execute(array('column' => $unsafeValue));

希望本文所述对大家的PHP程序设计有所帮助。

PHP 相关文章推荐
JAVA/JSP学习系列之四
Oct 09 PHP
第4章 数据处理-php字符串的处理-郑阿奇(续)
Jul 04 PHP
如何使用PHP计算上一个月的今天
May 23 PHP
MongoDB在PHP中的常用操作小结
Feb 20 PHP
解决yii2左侧菜单子级无法高亮问题的方法
May 08 PHP
php arsort 数组降序排序详细介绍
Nov 17 PHP
php curl 模拟登录并获取数据实例详解
Dec 22 PHP
关于php 高并发解决的一点思路
Apr 16 PHP
thinkPHP5 ACL用户权限模块用法详解
May 10 PHP
php无限级评论嵌套实现代码
Apr 18 PHP
laravel 查询数据库获取结果实现判断是否为空
Oct 24 PHP
php屏蔽错误及提示的方法
May 10 PHP
PDO防注入原理分析以及使用PDO的注意事项总结
Oct 23 #PHP
常用PHP框架功能对照表
Oct 23 #PHP
C/S和B/S两种架构区别与优缺点分析
Oct 23 #PHP
php中字符串和正则表达式详解
Oct 23 #PHP
PHP制作3D扇形统计图以及对图片进行缩放操作实例
Oct 23 #PHP
PHP制作图形验证码代码分享
Oct 23 #PHP
PHP链接MySQL的常用扩展函数
Oct 23 #PHP
You might like
PHP链接MySQL的常用扩展函数
2014/10/23 PHP
PHP如何通过date() 函数格式化显示时间
2020/11/13 PHP
JSON 学习之完全手册 图文
2007/05/29 Javascript
关于document.cookie的使用javascript
2010/10/29 Javascript
Javascript this 的一些学习总结
2012/08/02 Javascript
JavaScript中实现map功能代码分享
2015/06/11 Javascript
Javascript页面跳转常见实现方式汇总
2015/11/28 Javascript
清除js缓存的多种方法总结
2016/12/09 Javascript
BootStrap 下拉菜单点击之后不会出现下拉菜单(下拉菜单不弹出)的解决方案
2016/12/14 Javascript
ionic中列表项增加和删除的实现方法
2017/01/22 Javascript
JS中的作用域链
2017/03/01 Javascript
eslint 的三大通用规则详解
2019/05/16 Javascript
发布订阅模式在vue中的实际运用实例详解
2019/06/09 Javascript
Vue的路由及路由钩子函数的实现
2019/07/02 Javascript
基于Node的Axure文件在线预览的实现代码
2019/08/28 Javascript
深入浅析JavaScript中的in关键字和for-in循环
2020/04/20 Javascript
Vue自定义render统一项目组弹框功能
2020/06/07 Javascript
[01:21]辉夜杯战队访谈宣传片—CDEC
2015/12/25 DOTA
Python os模块介绍
2014/11/30 Python
使用Python3制作TCP端口扫描器
2017/04/17 Python
在python中使用正则表达式查找可嵌套字符串组
2017/10/24 Python
python utc datetime转换为时间戳的方法
2019/01/15 Python
python导入pandas具体步骤方法
2019/06/23 Python
Django重设Admin密码过程解析
2020/02/10 Python
jupyter notebook 增加kernel教程
2020/04/10 Python
基于python的opencv图像处理实现对斑马线的检测示例
2020/11/29 Python
StubHub意大利:购买和出售全球演唱会和体育赛事门票
2017/11/21 全球购物
公司薪酬管理制度
2014/01/31 职场文书
工地安全检查制度
2014/02/04 职场文书
给市场的环保建议书
2014/05/14 职场文书
法定代表人资格证明书
2014/09/11 职场文书
2015年六一儿童节活动方案
2015/05/05 职场文书
小学生反邪教心得体会
2016/01/15 职场文书
Python制作动态字符画的源码
2021/08/04 Python
NGINX 权限控制文件预览和下载的实现原理
2022/01/18 Servers
Python各协议下socket黏包问题原理
2022/04/12 Python