准备好的语句如何防止 PHP 应用程序中的 SQL 注入攻击？

防止 PHP 中的 SQL 注入攻击

在 Web 应用程序中，用户输入如果不处理，往往会导致 SQL 注入等漏洞适当地。当用户提供的数据未经适当的验证或清理而直接包含在 SQL 语句中时，就会发生 SQL 注入。

问题

考虑以下 PHP 代码片段：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

如果用户输入恶意数据，例如值'); DROP TABLE table;--，SQL 查询变为：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

这将导致恶意用户从数据库中删除整个表。

解决方案：准备好的语句和参数化

防止SQL注入的推荐解决方案是使用准备好的语句和参数化来将数据与SQL分离查询。这确保用户输入被视为数据而不是可执行命令。

使用 PDO

PDO 为各种数据库驱动程序提供一致且通用的接口。要将预准备语句与 PDO 结合使用：

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Do something with $row
}

使用 MySQLi

对于 MySQL，MySQLi 在 PHP 8.2 中提供了execute_query() 方法：

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

或者，在 PHP 之前的版本中8.2:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type as string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

对于其他数据库驱动程序，请参阅其具体文档。

正确的连接设置

为了确保真正的保护，至关重要配置数据库连接正确：

PDO

禁用模拟准备语句：

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

MySQLi

启用错误报告并设置角色set:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');

说明

准备好的语句由数据库服务器解析和编译，而参数被视为单独的值。这可以防止恶意输入被解释为命令。

结论

通过使用准备好的语句和参数化，您可以有效地保护您的 PHP Web 应用程序免受 SQL 注入攻击并维护数据完整性。

以上是准备好的语句如何防止 PHP 应用程序中的 SQL 注入攻击？的详细内容。更多信息请关注PHP中文网其他相关文章！