PHP中如何防止SQL注入攻击?
P粉939473759
2023-08-22 10:23:01
<p>如果用户输入未经修改地插入到SQL查询中,则应用程序将变得容易受到SQL注入攻击,就像以下示例中所示:</p>
<pre class="lang-php prettyprint-override"><code>$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
</code></pre>
<p>这是因为用户可以输入类似于 <code>value'); DROP TABLE table;--</code> 的内容,查询将变成:</p>
<pre class="brush:php;toolbar:false;">INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')</pre>
<p>如何防止这种情况发生?</p>
要使用参数化查询,您需要使用Mysqli或PDO。要使用mysqli重写您的示例,我们需要类似以下的代码。
您可能需要阅读的关键函数是
mysqli::prepare
。此外,正如其他人建议的那样,您可能会发现使用PDO等更高级的抽象层会更有用/更容易。
请注意,您提到的情况相当简单,更复杂的情况可能需要更复杂的方法。特别是:
mysql_real_escape_string
中。在这种情况下,最好将用户的输入通过白名单传递,以确保只允许通过“安全”值。无论您使用哪个数据库,避免SQL注入攻击的正确方法是将数据与SQL分离,使数据保持数据的形式,永远不会被SQL解析器解释为命令。可以创建带有正确格式化数据部分的SQL语句,但如果您不完全了解细节,您应该始终使用预处理语句和参数化查询。这些是将SQL语句与任何参数分开发送并由数据库服务器分析的SQL语句。这样,攻击者就无法注入恶意SQL。
基本上有两种方法可以实现这一点:
使用PDO(适用于任何支持的数据库驱动程序):
使用MySQLi(适用于MySQL):
自PHP 8.2+以来,我们可以使用
execute_query()
方法来准备、绑定参数和执行SQL语句:在PHP8.1之前:
如果您连接的是MySQL以外的数据库,可以参考特定于驱动程序的第二个选项(例如,对于PostgreSQL,可以使用
pg_prepare()
和pg_execute()
)。PDO是通用选项。正确设置连接
PDO
请注意,当使用PDO访问MySQL数据库时,默认情况下不会使用真正的预处理语句。为了解决这个问题,您需要禁用预处理语句的模拟。以下是使用PDO创建连接的示例:
在上面的示例中,错误模式并不是严格必需的,但建议添加它。这样PDO将通过抛出
PDOException
来通知您所有的MySQL错误。然而,必须的是第一行
setAttribute()
,它告诉PDO禁用模拟的预处理语句并使用真正的预处理语句。这样确保语句和值在发送到MySQL服务器之前不会由PHP解析(使潜在的攻击者无法注入恶意SQL)。虽然您可以在构造函数的选项中设置
charset
,但需要注意的是,“旧版”PHP(5.3.6之前)在DSN中静默忽略了charset参数。Mysqli
对于mysqli,我们需要遵循相同的例程:
解释
您传递给
prepare
的SQL语句由数据库服务器解析和编译。通过指定参数(在上面的示例中,可以是?
或命名参数,如:name
),您告诉数据库引擎您要在哪里进行过滤。然后,当您调用execute
时,准备好的语句将与指定的参数值组合。这里重要的是参数值与编译后的语句组合,而不是与SQL字符串组合。SQL注入是通过欺骗脚本在创建要发送到数据库的SQL时包含恶意字符串来工作的。因此,通过将实际的SQL与参数分开发送,可以限制意外结果的风险。
使用预处理语句发送的任何参数都将被视为字符串(尽管数据库引擎可能会对参数进行一些优化,因此参数最终可能是数字)。在上面的示例中,如果
$name
变量包含'Sarah'; DELETE FROM employees
,结果将仅是搜索字符串"'Sarah'; DELETE FROM employees"
,您将不会得到一个空表。使用预处理语句的另一个好处是,如果在同一会话中多次执行相同的语句,它只会被解析和编译一次,从而提高一些速度。
哦,既然您问到如何对插入进行操作,这里是一个示例(使用PDO):
预处理语句是否适用于动态查询?
虽然您仍然可以对查询参数使用预处理语句,但动态查询本身的结构无法进行参数化,并且某些查询功能也无法进行参数化。
对于这些特定的场景,最好的做法是使用白名单过滤器来限制可能的值。