PDO防止sql注入的機制

使用PDO存取MySQL資料庫時，真正的real prepared statements 預設是不使用的。為了解決這個問題，你必須停用 prepared statements的模擬效果。以下是使用PDO建立連結的範例：

程式碼如下:

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

#setAttribute（） 這一行是強制性的，它會告訴PDO 停用模擬預處理語句，並使用real parepared statements 。這可以確保SQL語句和對應的值在傳遞到mysql伺服器之前是不會被PHP解析的（禁止了所有可能的惡意SQL注入攻擊）。雖然你可以設定檔中設定 字元集的屬性(charset=utf8)，但需要格外注意的是，舊版的 PHP（ < 5.3.6）在DSN中是忽略字元參數的。

我們來看一段完整的程式碼使用實例：

程式碼如下:

$dbh = new PDO("mysql:host=localhost; dbname=dbtest", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'");
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}
$dbh = null;

##上面這段程式碼就可以防範sql注入。為什麼呢？

當呼叫prepare() 時，查詢語句已經傳送給了資料庫伺服器，此時只有佔位符? 傳送過去，沒有使用者提交的資料；當呼叫到execute()時，使用者提交過來的值才會傳送給資料庫，他們是分開傳送的，兩者獨立的，SQL攻擊者沒有一點機會。

但是我們要注意的是以下幾種情況，PDO並不能幫助你防範SQL注入

1、你不能讓佔位符? 取代一組值，如：

程式碼如下:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能讓佔位符取代資料表名或列名，如：

程式碼如下：

SELECT * FROM blog ORDER BY ?;

3、你不能讓佔位符? 取代任何其他SQL語法，如：
##程式碼如下:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

 以上就是PDO防止sql注入的機制的內容，更多相關內容請關注PHP中文網（www.php.cn）！

#