防止PHP开发中SQL注入的解决实例
在学习PHP的过程中,您可能会有点困惑,不知道哪里有简单的方法可以避免某些情况的发生,爱站技术频道小编就为大家介绍防止PHP开发中SQL注入的解决实例,一起参考看看吧!
如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成:
使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器,并被解析!对于攻击者想要恶意注入sql是不可能的!
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array(':name' => $name));
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的!为了解决这个问题,你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下:
在上面例子中错误模式ERRMODE不是严格必须的,但是建议添加它。当运行出错产生致命错误时,这种方法脚本不会停止。并给开发人员捕捉任何错误的机会(当抛出PDOException异常时)。
setAttribute()那一行是强制性的,它告诉PDO禁用仿真预备义语句,使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL).
当然你可以在构造函数选项中设置字符集参数,特别注意'老'的PHP版本(5.3.6)会在DSN中忽略掉字符集参数。
使用准备好的语句的另一个好处是,如果你在同一会话中多次执行相同的语句,这将只被解析和编译一次,给你一些的速度增长。
哦,既然你问如何进行插入,这里是一个例子(使用PDO):
以上是爱站技术频道小编为大家介绍的防止PHP开发中SQL注入的解决实例,每一个开发者都要率先找到项目的接口,这样才能顺利的进行相应的编写工作。
上一篇:PHP开发中数据类型的详解
下一篇:PHP开发中正则匹配的操作实例
