Jika input pengguna dimasukkan ke dalam pertanyaan SQL tanpa pengubahsuaian, aplikasi terdedah kepada suntikan SQL, seperti ditunjukkan dalam contoh berikut:
$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
Ini kerana pengguna boleh menaip sesuatu seperti value') 的内容; DROP TABLE table;--
dan pertanyaan menjadi:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
Apakah langkah yang boleh diambil untuk mengelakkan perkara ini daripada berlaku?
Untuk menggunakan pertanyaan berparameter, anda perlu menggunakan Mysqli atau PDO. Untuk menulis semula contoh anda menggunakan mysqli kami memerlukan perkara berikut.
Fungsi utama yang anda perlu baca ialah
mysqli::prepare
.Selain itu, seperti yang dicadangkan oleh orang lain, anda mungkin mendapati menggunakan sesuatu seperti PDO.
Sila ambil perhatian bahawa kes yang anda tanyakan adalah agak mudah, kes yang lebih kompleks mungkin memerlukan kaedah yang lebih canggih. Terutamanya:
mysql_real_escape_string
mysql_real_escape_string tidak mengandungi pelarian yang diperlukan. Dalam kes ini, lebih baik anda menghantar input pengguna melalui senarai putih untuk memastikan hanya nilai "selamat" dibenarkan.Tidak kira pangkalan data yang anda gunakan, cara yang betul untuk mengelakkan serangan suntikan SQL adalah dengan mengasingkan data daripada SQL supaya data masih menjadi data dan >tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Anda boleh membuat pernyataan SQL menggunakan bahagian data yang diformat dengan betul, tetapi jika anda sepenuhnya memahami butirannya, anda harus sentiasa menggunakan pernyataan yang disediakan dan pertanyaan berparameter. ialah pernyataan SQL yang dihantar dan dihuraikan oleh pelayan pangkalan data secara berasingan daripada sebarang parameter. Dengan cara ini adalah mustahil bagi penyerang untuk menyuntik SQL berniat jahat.
Anda pada asasnya mempunyai dua pilihan untuk mencapai ini:
Gunakan PDO (untuk mana-mana pemacu pangkalan data yang disokong):
Gunakan MySQLi (untuk MySQL):
Bermula dari PHP 8.2+, kita boleh menggunakan execute_query() untuk menyediakan, mengikat parameter dan melaksanakan pernyataan SQL dalam satu kaedah:
Sehingga PHP8.1:
Jika anda menyambung ke pangkalan data selain MySQL, anda boleh merujuk kepada pilihan khusus pemacu kedua (cth.,
untuk PostgreSQL). PDO ialah pilihan universal.pg_prepare()
pg_prepare()dan pg_execute()
Sila ambil perhatian bahawa apabila menggunakan PDO untuk mengakses pangkalan data MySQL, sebenar penyata yang disediakantidak digunakan secara lalai. Untuk menyelesaikan isu ini, anda mesti melumpuhkan simulasi kenyataan yang disediakan. Contoh mencipta sambungan menggunakan PDO
ialah:PDOException
. Dengan cara ini, PDO akan memberitahu anda tentang semua ralat MySQL dengan membuang PDOException. Walau bagaimanapun,
yang pertama, yang memberitahu PDO untuk melumpuhkan kenyataan simulasi yang disediakan dan menggunakan pernyataan kenyataan yang disediakansetAttribute()
memaksa ialah baris setAttribute()sebenar
charset字符集
. Ini memastikan pernyataan dan nilai tidak dihuraikan oleh PHP sebelum dihantar ke pelayan MySQL (memberi peluang kepada bakal penyerang untuk menyuntik SQL yang berniat jahat). Walaupun anda boleh menetapkandalam pilihan pembina, adalah penting untuk ambil perhatian bahawa versi "lama" PHP (sebelum 5.3.6)
abaikan parameter charset secara senyapdalam DSN.
🎜Mysqli🎜 🎜Untuk mysqli kita kena ikut rutin yang sama: 🎜Arahan
Apabila anda lulus
prepare
的SQL语句由数据库服务器解析和编译。通过指定参数(?
或命名参数,如上例中的:name
),您可以告诉数据库引擎您要过滤的位置。然后,当您调用execute
, pernyataan yang disediakan akan digabungkan dengan nilai parameter yang anda tentukan.Perkara penting di sini ialah nilai parameter digabungkan dengan pernyataan yang disusun, bukan rentetan SQL. Suntikan SQL berfungsi dengan menipu skrip supaya mengandungi rentetan berniat jahat apabila ia mencipta SQL untuk dihantar ke pangkalan data. Jadi dengan menghantar SQL sebenar secara berasingan daripada parameter, anda mengehadkan risiko berakhir dengan hasil yang tidak dijangka.
Sebarang parameter yang anda hantar apabila menggunakan penyata yang disediakan akan dianggap sebagai rentetan (walaupun enjin pangkalan data mungkin melakukan beberapa pengoptimuman, jadi parameter sudah tentu akan dianggap sebagai nombor juga). Dalam contoh di atas, jika
$name
变量包含'Sarah'; DELETE FROMEmployees
结果只是搜索字符串"'Sarah'; DELETE FROMEmployees"
, dan anda tidak akan mendapat meja kosong.Faedah lain menggunakan pernyataan yang disediakan ialah jika anda melaksanakan pernyataan yang sama beberapa kali dalam sesi yang sama, ia hanya akan dihuraikan dan disusun sekali, sekali gus meningkatkan kelajuan.
Oh, kerana anda bertanya bagaimana untuk membuat sisipan, berikut adalah contoh (menggunakan PDO):
Bolehkah pernyataan yang disediakan digunakan untuk pertanyaan dinamik?
Walaupun anda masih boleh menggunakan pernyataan yang disediakan dengan parameter pertanyaan, struktur pertanyaan dinamik itu sendiri tidak boleh diparameterkan dan fungsi pertanyaan tertentu juga tidak boleh diparameterkan.
Untuk senario khusus ini, perkara terbaik untuk dilakukan ialah menggunakan penapis senarai putih untuk mengehadkan nilai yang mungkin.