如何在PHP中安全地使用MySQL扩展来防止SQL注入？

如何使用 MySQL 扩展编写安全的数据库查询

MySQL 扩展为 PHP 中的数据库交互提供了一种基本但实用的方法。虽然不是最受提倡的选项，但正确使用它可以减轻潜在的安全性和可用性陷阱。

安全查询的基本注意事项

为了防范常见漏洞，至关重要遵守最佳实践：

• 通过转义用户来防止 SQL 注入输入。
• 避免动态 SQL 执行，例如 LIMIT 子句或表名称。
• 为调试和生产使用实现强大的错误报告。
• 防止跨站点脚本（ XSS）通过清理输出。

安全 MySQL 的示例代码交互

让我们演示一个对 'tablename' 表执行 UPDATE 查询的安全 PHP 脚本：

header('Content-type: text/html; charset=utf-8');
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);

$config = array(
    'host' => '127.0.0.1',
    'user' => 'my_user',
    'pass' => 'my_pass',
    'db' => 'my_database'
);

$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);

if (!$connection) {
    trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_select_db($config['db'])) {
    trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_set_charset('utf8')) {
    trigger_error('Unable to set charset for db connection: ' . mysql_error(), E_USER_ERROR);
}

$result = mysql_query('UPDATE tablename SET name = "' . mysql_real_escape_string($_POST['name']) . '" WHERE id = "' . mysql_real_escape_string($_POST['id']) . '"');

if ($result) {
    echo htmlentities($_POST['name'], ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}

说明

• 转义用户输入： 输入值（id 和name) 使用 mysql_real_escape_string 进行转义以防止 SQL 注入。
• 禁用错误显示：出于安全目的，在生产模式下禁用错误显示（display_errors 设置为 0）。
• Unicode 支持： 通过 mysql_set_charset('utf8') 启用 Unicode 支持处理国际字符。
• 错误处理：发生故障时会触发详细错误，有助于调试和错误报告。可以根据需要自定义 trigger_error() 函数。

此代码示例演示如何使用 MySQL 扩展执行安全更新查询。它可以为寻求在自己的数据库交互中实施最佳实践的开发人员提供参考。

以上是如何在PHP中安全地使用MySQL扩展来防止SQL注入？的详细内容。更多信息请关注PHP中文网其他相关文章！