PHP
话题列表 社区 Wiki 优质外文 招聘求职 PHP 实战教程 社区文档
登录
注册

PHP的预处理查询是如何防止SQL注入的

Darwin 的个人博客 / 0 / 0 / 创建于 1年前

目前最有效的防止sql注入的方式使用预处理语句和参数化查询。

以最常用的PHP PDO扩展为例。

官方文档中对预处理语句的介绍

什么是预处理语句?

可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。

预处理语句的两大好处:

  1. 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。
  2. 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。

PDO的特性在于驱动程序不支持预处理的时候,PDO将模拟处理,此时的预处理-参数化查询过程在PDO的模拟器中完成。PDO模拟器根据DSN中指定的字符集对输入参数进行本地转义,然后拼接成完整的SQL语句,发送给MySQL服务端。

所以,PDO模拟器能否正确的转义输入参数,是拦截SQL注入的关键。

小于5.3.6的PHP版本,DSN(Data Source Name)是默认忽略 charset 参数的。这时如果使用PDO的本地转义,仍然可能导致SQL注入。

因此,像 Laravel 框架底层会直接设置PDO::ATTR_EMULATE_PREPARES=false,来确保SQL语句和参数值在被发送到MySQL服务器之前不会被PHP解析。

  • PHP的实现
// 查询
$calories = 150;
$colour = 'red';  
$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour');  
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);  
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);  
$sth->execute();
// 插入,修改,删除
$preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStmt->execute(array(':column' => $unsafeValue));
  • Laravel 的底层实现
// 查询的实现
public function select($query, $bindings = [], $useReadPdo = true)
{
    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {

        if ($this->pretending()) {
                return [];
        }

        $statement = $this->prepared(
                $this->getPdoForSelect($useReadPdo)->prepare($query)
        );

        $this->bindValues($statement, $this->prepareBindings($bindings));

        $statement->execute();
        return $statement->fetchAll();
    });
}

// 修改删除的实现
public function affectingStatement($query, $bindings = [])
{

    return $this->run($query, $bindings, function ($query, $bindings) {

        if ($this->pretending()) {
                return 0;
        }
        $statement = $this->getPdo()->prepare($query);

        $this->bindValues($statement, $this->prepareBindings($bindings));

        $statement->execute();

        $this->recordsHaveBeenModified(
                ($count = $statement->rowCount()) > 0
        );

        return $count;
    });
}
sql注入 php
本作品采用《CC 协议》,转载必须注明作者和本文链接
Darwin
77 声望
暂无个人描述~
讨论数量: 0
排序:
时间 投票
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
Darwin
未填写
文章
13
粉丝
0
喜欢
21
收藏
14
排名:1542
访问:2127
私信
所有博文
文章归档
1 篇 2024 年 5 月 1 篇 2023 年 9 月 1 篇 2023 年 7 月 5 篇 2023 年 6 月 4 篇 2023 年 3 月 1 篇 2023 年 2 月
最新文章 最受欢迎
9个月前 记录Laravel 导入Excel, 导出Excel/PDF/Word 1年前 分享一个便宜买.com域名的方法 1年前 通过 Vscode Remote-SSH 远程开发Linux上的代码 1年前 仓库管理系统WMS的标签打印方案 1年前 Go多版本管理工具-g
6 记录Laravel 导入Excel, 导出Excel/PDF/Word 4 ELK 日志服务的搭建过程 3 免费HTTPS证书部署工具certbot 2 PHP的预处理查询是如何防止SQL注入的 1 解决唯一索引不区分大小写的问题
博客标签
php
1
 laravel
1
 elasticsearch
1
 excel
1
 mysql
2
 pdf
1
 supervisor
1
 word
1
 git
1
 devops
1
 ssh
1
 logstash
1
 rsync
1
 inotify
1
 wms
1
 kibana
1
 vscode
1
 服务器
2
 certbot
1
 索引
1
 工具
2
 同步
1
 go
1
 linux
2
 脚本
1
 nginx
1
 filebeat
1
 免费
1
 远程开发
1
 错题集
2
 sql注入
2
 预处理语句
1
 参数化查询
1
 磁盘
1
 多版本管理
1
 仓库管理系统
1
 标签打印
1
 工作日志
1
 项目总结
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消