如何在PHP中防止SQL注入

本篇文章將為大家介紹關於PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驅動程式防止SQL注入的方法。下面我們來看具體的內容。

簡單的SQL注入範例

例如，A有一個銀行網站。已為銀行客戶提供了一個網路介面，以查看其帳號和餘額。您的銀行網站使用http://example.com/get_account_details.如何在PHP中防止SQL注入?account_id=102等網址從資料庫中提取詳細資料。

例如，get_account_details.如何在PHP中防止SQL注入的程式碼如下所示。

$accountId = $_GET['account_id'];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

客戶accountId透過查詢字串作為account_id傳遞。與上面的Url一樣，如果使用者的帳戶ID為102並且它在查詢字串中傳遞。 Php腳本將建立如下所示的查詢。

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102取得accountNumber和餘額詳細信息，並提供給客戶。

我們假設另一個場景，智慧客戶已經通過了account_id，就像0 OR 1=1查詢字串一樣。現在會發生什麼事？ PHP腳本將建立如下所示的查詢並在資料庫上執行。

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

查看由腳本和資料庫傳回的結果所建立的查詢。您可以看到此查詢傳回了所有帳號和可用餘額。

這稱為SQL注入。這是一個簡單的方式，其實可以有很多方法可以進行SQL注入。下面我們就來看看如何使用PHP MySQLi驅動程式和PHP PDO驅動程式來防止SQL注入。

使用PHP-MySQLi驅動程式

可以使用PHP-MySQLi驅動程式預處理語句來避免這些類型的SQL注入。

PHP防止SQL注入的程式碼如下：

$accountId = $_GET['account_id'];
 
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {
  
    $stmt->bind_param("s", $accountId);
 
    $stmt->execute();
 
 $result = $stmt->get_result();
 
 while ($row = $result->fetch_assoc()) {
 // do something here
 }
 
    $stmt->close(); 
}

使用PHP-PDO驅動程式

可以使用PHP-PDO驅動程式prepare語句來避免這些類型的SQL注入。

PHP解決上面的SQL注入問題的程式碼如下：

$accountId = $_GET['account_id'];
 
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {
  
    $stmt->execute(array('name' => $name));
 
 foreach ($stmt as $row) {
 // do something here
 }
 
    $stmt->close(); 
}

這篇文章到這裡就已經全部結束了，更多其他精彩內容大家可以關注如何在PHP中防止SQL注入中文網的其他相關欄位教程！ ！ ！

以上是如何在PHP中防止SQL注入的詳細內容。更多資訊請關注PHP中文網其他相關文章！