PDO 預先準備語句是否總是能夠防止 SQL 注入？

PDO 準備語句足以防止 SQL 注入嗎？

PDO（PHP 資料物件）準備語句是防止 SQL 注入的強大工具注射。然而，了解它們的局限性以真正防範此漏洞非常重要。

模擬準備的問題：

預設情況下，PDO 模擬 MySQL 的準備語句。然而，這種模擬存在一個安全漏洞，熟練的攻擊者可以利用該漏洞。在這種攻擊場景中：

1. 伺服器的字元集設定為支援使用轉義 '（反斜線）編碼的多位元組字元。
2. 精心設計了一個有效負載，其中包含以下組合無效的多位元組字元。
3. PDO 內部呼叫 MySQL C API 函數 mysql_real_escape_string() 來轉義有效負載，它根據連接字元集執行操作。
4. 有效負載中的無效多位元組字元被視為有效的單字節，從而產生未轉義的 ' 字元。
5. 此轉義的 ' 字元可用來製作SQL注入攻擊。

防止攻擊：

若要防止此攻擊，您可以透過將 PDO 屬性 PDO::ATTR_EMULATE_PREPARES 設定為 false 來停用模擬準備語句。這迫使 PDO 使用真正的準備好的語句，這會更安全。

您也可以透過以下方式緩解攻擊：

• 使用不易受攻擊的字元集進行連接編碼，例如UTF-8。
• 啟用NO_BACKSLASH_ESCAPES SQL

安全示例：

以下示例說明了PDO 準備語句的安全使用：

// Disable emulated prepares and use non-vulnerable character set
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

// Use DSN charset parameter in PHP ≥ 5.3.6
$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

在結論是，使用PDO準備通常足以防止 SQL 注入，但了解並減輕潛在漏洞至關重要。透過了解模擬準備語句的限制並確保配置相容，您可以有效保護您的應用程式免受惡意注入。

以上是PDO 預先準備語句是否總是能夠防止 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！