本篇文章將為大家介紹關於PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驅動程式防止SQL注入的方法。下面我們來看具體的內容。
簡單的SQL注入範例
例如,A有一個銀行網站。已為銀行客戶提供了一個網路介面,以查看其帳號和餘額。您的銀行網站使用http://example.com/get_account_details.如何在PHP中防止SQL注入?account_id=102等網址從資料庫中提取詳細資料。
例如,get_account_details.如何在PHP中防止SQL注入的程式碼如下所示。
$accountId = $_GET['account_id']; $query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
客戶accountId透過查詢字串作為account_id傳遞。與上面的Url一樣,如果使用者的帳戶ID為102並且它在查詢字串中傳遞。 Php腳本將建立如下所示的查詢。
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
accountId 102取得accountNumber和餘額詳細信息,並提供給客戶。
我們假設另一個場景,智慧客戶已經通過了account_id,就像0 OR 1=1查詢字串一樣。現在會發生什麼事? PHP腳本將建立如下所示的查詢並在資料庫上執行。
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
查看由腳本和資料庫傳回的結果所建立的查詢。您可以看到此查詢傳回了所有帳號和可用餘額。
這稱為SQL注入。這是一個簡單的方式,其實可以有很多方法可以進行SQL注入。下面我們就來看看如何使用PHP MySQLi驅動程式和PHP PDO驅動程式來防止SQL注入。
使用PHP-MySQLi驅動程式
可以使用PHP-MySQLi驅動程式預處理語句來避免這些類型的SQL注入。
PHP防止SQL注入的程式碼如下:
$accountId = $_GET['account_id'];
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {
$stmt->bind_param("s", $accountId);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something here
}
$stmt->close();
}使用PHP-PDO驅動程式
可以使用PHP-PDO驅動程式prepare語句來避免這些類型的SQL注入。
PHP解決上面的SQL注入問題的程式碼如下:
$accountId = $_GET['account_id'];
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {
// do something here
}
$stmt->close();
}這篇文章到這裡就已經全部結束了,更多其他精彩內容大家可以關注如何在PHP中防止SQL注入中文網的其他相關欄位教程! ! !
以上是如何在PHP中防止SQL注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!
