PHP中如何防止SQL注入?
P粉128563140
2023-08-31 18:10:38
<p>如果使用者輸入未經修改就插入 SQL 查詢中,則應用程式很容易受到 SQL 注入的攻擊,如下例所示:</p>
<pre class="lang-php prettyprint-override"><code>$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
</code></pre>
<p>這是因為使用者可以輸入類似 <code>value') 的內容; DROP TABLE table;--</code>,查詢變成:</p>
<pre class="brush:php;toolbar:false;">INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')</pre>
<p>可以採取什麼措施來防止這種情況發生? </p>
要使用參數化查詢,您需要使用 Mysqli 或 PDO。要使用 mysqli 重寫您的範例,我們需要如下內容。
您需要閱讀的關鍵函數是
mysqli::prepare
.此外,正如其他人所建議的,您可能會發現使用諸如 PDO.
請注意,您詢問的案例相當簡單,更複雜的案例可能需要更複雜的方法。特別是:
mysql_real_escape_string
不包含所需的轉義。在這種情況下,您最好透過白名單傳遞使用者的輸入,以確保只允許「安全」值通過。無論您使用哪種資料庫,避免SQL 注入攻擊的正確方法都是將資料與SQL 分離,這樣資料仍然是數據,並且 >永遠不會被SQL 解析器解釋為指令。可以使用格式正確的資料部分建立 SQL 語句,但如果您完全不了解詳細信息,則應始終使用準備好的語句和參數化查詢。 是與任何參數分開傳送到資料庫伺服器並由資料庫伺服器解析的 SQL 語句。這樣攻擊者就不可能注入惡意SQL。
您基本上有兩個選項來實現此目的:
使用PDO(用於任何支援的資料庫驅動程式):
使用MySQLi(用於MySQL):
從 PHP 8.2 開始,我們可以使用 execute_query() 在一個方法中準備、綁定參數並執行 SQL 語句:
最高可達 PHP8.1:
如果您要連接到MySQL 以外的資料庫,則可以參考特定於驅動程式的第二個選項(例如,
pg_prepare()
和pg_execute() 對於PostgreSQL) 。 PDO 是通用選項。
正確設定連接
PDO
請注意,當使用PDO存取MySQL資料庫時,真正的準備好的語句預設不使用。要解決此問題,您必須停用準備語句的模擬。使用 PDO 建立連接的範例是:
在上面的範例中,錯誤模式並不是絕對必要的,但建議添加它。這樣,PDO 將透過拋出
PDOException
的方式通知您所有 MySQL 錯誤。但是,強制是第一行
setAttribute()
行,它告訴PDO 禁用模擬準備好的語句並使用真實準備好的語句聲明。這可以確保語句和值在傳送到 MySQL 伺服器之前不會被 PHP 解析(讓可能的攻擊者沒有機會注入惡意 SQL)。雖然您可以在建構函數的選項中設定
字元集
,但請務必注意,「較舊」版本的PHP(5.3.6 之前)默默地忽略了DSN 中的字符集參數。Mysqli
對於 mysqli,我們必須遵循相同的例程:
說明
您傳遞給
prepare
的SQL語句由資料庫伺服器解析和編譯。透過指定參數(?
或命名參數,如上例中的:name
),您可以告訴資料庫引擎您要過濾的位置。然後,當您呼叫execute
時,準備好的語句將與您指定的參數值結合。這裡重要的是參數值與編譯後的語句結合在一起,而不是 SQL 字串。 SQL 注入的工作原理是在腳本建立要傳送到資料庫的 SQL 時欺騙腳本包含惡意字串。因此,透過將實際的 SQL 與參數分開傳送,您可以限制最終出現意外情況的風險。
您在使用準備好的語句時發送的任何參數都會被視為字串(儘管資料庫引擎可能會進行一些最佳化,因此參數當然也可能最終被視為數字)。在上面的範例中,如果
$name
變數包含'Sarah'; DELETE FROMEmployees
結果只是搜尋字串"'Sarah'; DELETE FROMEmployees"
,並且最終不會得到一個空表。使用準備好的語句的另一個好處是,如果您在同一個會話中多次執行相同的語句,它只會被解析和編譯一次,從而提高速度。
哦,既然您詢問瞭如何進行插入,這裡有一個範例(使用 PDO):
準備好的語句可以用於動態查詢嗎?
雖然您仍然可以對查詢參數使用準備好的語句,但動態查詢本身的結構無法參數化,而且某些查詢功能也無法參數化。
對於這些特定場景,最好的方法是使用白名單過濾器來限制可能的值。