使用预准备语句防范 SQL 注入
准备好的语句通过将代码与用户提供的数据完全分离,提供了针对 SQL 注入漏洞的强大防御。
了解 SQL 注入威胁
当不可信数据直接嵌入 SQL 查询中时,就会发生 SQL 注入攻击。 这种危险的做法模糊了代码和数据之间的界限,使攻击者能够注入恶意命令。 一个简单的例子说明了风险:
<code class="language-sql">$query = "SELECT * FROM users WHERE id = '" . $_GET['id'] . "'";</code>
如果 $_GET['id'] 包含 1; DROP TABLE users; --,则结果查询将变为:
<code class="language-sql">SELECT * FROM users WHERE id = '1; DROP TABLE users; --';</code>
此恶意输入执行 DROP TABLE users 命令,可能会破坏数据库。
准备好的语句的机制
准备好的语句通过将查询结构与数据分离来解决此漏洞。 该过程包括两个步骤:
<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");</code>? 充当数据的占位符。
<code class="language-php">$stmt->execute([$id]);</code>
数据库使用提供的数据执行预编译的查询。重要的是,数据被视为数据,而不是可执行代码,从而防止注入攻击。
PHP/MySQL 实现
这是使用准备好的语句的上一个示例的安全版本:
<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $expectedData); // "i" specifies integer data type
$stmt->execute();</code>即使$expectedData包含恶意输入,它也会被视为数据值,而不是SQL代码。
重要注意事项
虽然准备好的声明非常有效,但它们并不能提供完整的保护。 它们主要防止数据文字注入。 如果在查询中动态构建标识符(表名或列名),则额外的安全措施至关重要。
以上是准备好的语句如何防止SQL注入攻击?的详细内容。更多信息请关注PHP中文网其他相关文章!
