<dfn id="w48us"></dfn><ul id="w48us"></ul>
  • <ul id="w48us"></ul>
  • <del id="w48us"></del>
    <ul id="w48us"></ul>
  • PHP中該怎樣防止SQL注入

    時間:2024-08-25 18:17:07 SQL 我要投稿
    • 相關推薦

    PHP中該怎樣防止SQL注入

      對于操作數據庫的SQL語句,需要特別注意安全性,因為用戶可能輸入特定語句使得原有的SQL語句改變了功能。那么PHP中該怎樣防止SQL注入?下面小編為大家解答一下,希望能幫到您!

      問題描述:

      如果用戶輸入的數據在未經處理的情況下插入到一條SQL查詢語句,那么應用將很可能遭受到SQL注入攻擊,正如下面的例子:

      $unsafe_variable = $_POST['user_input'];

      mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

      因為用戶的輸入可能是這樣的:

      value'); DROP TABLE table;--

      那么SQL查詢將變成如下:

      INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;

      --')

      應該采取哪些有效的方法來防止SQL注入?

      回答:

      使用預處理語句和參數化查詢。預處理語句和參數分別發送到數據庫服務器進行解析,參數將會被當作普通字符處理。這種方式使得攻擊者無法注入惡意的SQL。 你有兩種選擇來實現該方法:

      1、使用PDO:

      $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

      $stmt->execute(array('name' => $name));

      foreach ($stmt as $row) {

      // do something with $row

      }

      2、使用mysqli:

      $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

      $stmt->bind_param('s', $name);

      $stmt->execute();

      $result = $stmt->get_result();

      while ($row = $result->fetch_assoc()) {

      // do something with $row

      }

      PDO

      注意,在默認情況使用PDO并沒有讓MySQL數據庫執行真正的預處理語句(原因見下文)。為了解決這個問題,你應該禁止PDO模擬預處理語句。一個正確使用PDO創建數據庫連接的例子如下:

      $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

      $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

      $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

      在上面的例子中,報錯模式(ATTR_ERRMODE)并不是必須的,但建議加上它。這樣,當發生致命錯誤(Fatal Error)時,腳本就不會停止運行,而是給了程序員一個捕獲PDOExceptions的機會,以便對錯誤進行妥善處理。 然而,第一個setAttribute()調用是必須的,它禁止PDO模擬預處理語句,而使用真正的預處理語句,即有MySQL執行預處理語句。這能確保語句和參數在發送給MySQL之前沒有被PHP處理過,這將使得攻擊者無法注入惡意SQL。了解原因,可參考這篇博文:PDO防注入原理分析以及使用PDO的注意事項。 注意在老版本的PHP(<5.3.6),你無法通過在PDO的構造器的DSN上設置字符集,參考:silently ignored the charset parameter。

      解析

      當你將SQL語句發送給數據庫服務器進行預處理和解析時發生了什么?通過指定占位符(一個?或者一個上面例子中命名的 :name),告訴數據庫引擎你想在哪里進行過濾。當你調用execute的時候,預處理語句將會與你指定的參數值結合。 關鍵點就在這里:參數的值是和經過解析的SQL語句結合到一起,而不是SQL字符串。SQL注入是通過觸發腳本在構造SQL語句時包含惡意的字符串。所以,通過將SQL語句和參數分開,你防止了SQL注入的風險。任何你發送的參數的值都將被當作普通字符串,而不會被數據庫服務器解析。回到上面的例子,如果$name變量的值為 ’Sarah’; DELETE FROM employees ,那么實際的查詢將是在 employees 中查找 name 字段值為 ’Sarah’; DELETE FROM employees 的記錄。 另一個使用預處理語句的好處是:如果你在同一次數據庫連接會話中執行同樣的語句許多次,它將只被解析一次,這可以提升一點執行速度。 如果你想問插入該如何做,請看下面這個例子(使用PDO):

      $preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

      $preparedStatement->execute(array('column' => $unsafeValue));

    【PHP中該怎樣防止SQL注入】相關文章:

    PHP防止SQL注入的例子09-25

    PHP對象注入的實例分析08-27

    怎樣防止脫發05-01

    SQL中的單記錄函數08-12

    SQL中的單記錄函數盤點09-09

    PL/SQL編程中的經驗小結09-21

    PHP中curl的使用實例07-31

    PHP中關于類的定義10-02

    關于SQL在數據檢查中的應用10-14

    PHP中函數的使用說明09-01

    主站蜘蛛池模板: 亚洲午夜精品一区二区| 欧美国产成人久久精品| 久久精品99无色码中文字幕| 国产精品美女久久久久久2018 | 精品无码av一区二区三区| 国产精品gz久久久| 国产精品亚洲日韩欧美色窝窝色欲| 久久精品成人免费国产片小草| 国产精品久久久久影院嫩草| 亚洲av无码国产精品色午夜字幕| 精品国产一区二区三区在线观看| 久久久久四虎国产精品| 国产精品多人p群无码| 中文字幕精品无码一区二区| 国产亚洲精品a在线观看 | 欧美亚洲色综久久精品国产 | 99精品人妻无码专区在线视频区 | 国产午夜精品理论片免费观看| 国产精品高清视亚洲精品| 嫖妓丰满肥熟妇在线精品| 亚洲AV无码成人精品区狼人影院| 国产精品毛片一区二区| 四虎精品成人免费观看| 3D动漫精品啪啪一区二区下载| 无码精品一区二区三区在线 | 亚洲国产精品乱码一区二区| 无码精品久久一区二区三区| 精品欧美一区二区在线观看| 国产精品性爱| 国产精品igao视频| 国产精品无码素人福利不卡| 国产成人精品久久综合 | 成人国产精品999视频| 国语自产少妇精品视频蜜桃| 人人妻人人澡人人爽精品日本| 亚洲精品永久在线观看| 天天爽夜夜爽8888视频精品| 人妻一区二区三区无码精品一区| 青春草无码精品视频在线观| 午夜精品久久久久9999高清| 一色屋精品视频在线观看|