Bagaimanakah penyataan yang disediakan dan pertanyaan parameter menghalang suntikan SQL dalam PHP?

Halang suntikan SQL dalam PHP

Kerentanan suntikan SQL berlaku jika input pengguna tidak diproses dengan betul dan dimasukkan ke dalam pertanyaan SQL. Untuk memahami risiko ini, pertimbangkan contoh berikut:

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

Dalam senario ini, jika pengguna secara berniat jahat memasukkan nilai seperti value'); DROP TABLE table;--, pertanyaan akan menjadi:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

Ini membuka pintu kepada serangan berniat jahat pada pangkalan data.

Teknik mitigasi:

Tidak kira pangkalan data mana yang digunakan, amalan keselamatan yang disyorkan untuk menghalang suntikan SQL ialah memisahkan data daripada SQL. Ini bermakna memastikan bahawa data dianggap sebagai data dan tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Cara paling berkesan untuk mencapai matlamat ini ialah menggunakan pernyataan yang disediakan dan pertanyaan berparameter.

Pernyataan yang disediakan dan pertanyaan berparameter:

Pernyataan yang disediakan melibatkan penghantaran pertanyaan SQL dan parameter secara berasingan ke pelayan pangkalan data, membenarkan pangkalan data memproses gabungannya. Ini menghalang percubaan suntikan SQL yang berniat jahat dengan memastikan bahawa data tidak dihuraikan oleh PHP sebelum penghantaran.

Pilihan pelaksanaan:

Terdapat dua cara utama untuk melaksanakan pernyataan yang disediakan:

1. PDO (Objek Data PHP):

   Ini ialah kaedah umum yang berfungsi dengan semua pemacu pangkalan data yang disokong. Berikut adalah contoh penggunaannya:

   $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
   $stmt->execute([ 'name' => $name ]);
   
   foreach ($stmt as $row) {
       // 处理行
   }

2. MySQLi (Sambungan Penambahbaikan MySQL):

   Untuk pangkalan data MySQL, anda boleh menggunakan MySQLi. Bermula dengan PHP 8.2, anda boleh menggunakan kaedah execute_query() untuk menyediakan, mengikat parameter dan melaksanakan pernyataan SQL dalam satu langkah:

   $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

   Untuk PHP 8.1 dan ke bawah:

   $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
   $stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型
   $stmt->execute();
   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

Jika menggunakan pangkalan data selain MySQL, akan ada alternatif khusus pemacu, seperti PostgreSQL pg_prepare() dan pg_execute().

Tetapan sambungan yang betul:

Apabila membuat sambungan, adalah penting untuk melumpuhkan emulasi kenyataan yang disediakan untuk meningkatkan prestasi dan keselamatan.

Sambungan PDO:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Sambungan MySQL:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集

Kesimpulan:

Dengan melaksanakan pernyataan yang disediakan dan menyediakan sambungan dengan betul, anda boleh menghalang serangan suntikan SQL dengan berkesan dan memastikan keselamatan dan integriti aplikasi pangkalan data anda.

Atas ialah kandungan terperinci Bagaimanakah penyataan yang disediakan dan pertanyaan parameter menghalang suntikan SQL dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!