站長資訊網
本篇文章給大家帶來了關于php的相關知識,其中主要跟大家聊一聊什么是預處理語句?PHP的預處理查詢是如何防止SQL注入的?感興趣的朋友下面一起來看一下吧,希望對大家有幫助。
PHP的預處理查詢是如何防止SQL注入的?
目前最有效的防止 sql 注入的方式使用預處理語句和參數化查詢。
以最常用的 PHP PDO 擴展為例。
官方文檔中對預處理語句的介紹
什么是預處理語句?
可以把它看作是想要運行的 SQL 的一種編譯過的模板,它可以使用變量參數進行定制。
預處理語句的兩大好處:
1;查詢僅需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好后,數據庫將分析、編譯和優化執行該查詢的計劃。對于復雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重復相同的查詢,那么該過程將大大降低應用程序的速度。通過使用預處理語句,可以避免重復分析 / 編譯 / 優化周期。簡言之,預處理語句占用更少的資源,因而運行得更快。
2.提供給預處理語句的參數不需要用引號括起來,驅動程序會自動處理。如果應用程序只使用預處理語句,可以確保不會發生 SQL 注入。(然而,如果查詢的其他部分是由未轉義的輸入來構建的,則仍存在 SQL 注入的風險)。
PDO 的特性在于驅動程序不支持預處理的時候,PDO 將模擬處理,此時的預處理-參數化查詢過程在 PDO 的模擬器中完成。PDO 模擬器根據 DSN 中指定的字符集對輸入參數進行本地轉義,然后拼接成完整的 SQL 語句,發送給 MySQL 服務端。
所以,PDO 模擬器能否正確的轉義輸入參數,是攔截 SQL 注入的關鍵。
小于 5.3.6 的 PHP 版本,DSN (Data Source Name) 是默認忽略 charset 參數的。這時如果使用 PDO 的本地轉義,仍然可能導致 SQL 注入。
因此,像 Laravel 框架底層會直接設置 PDO::ATTR_EMULATE_PREPARES=false,來確保 SQL 語句和參數值在被發送到 MySQL 服務器之前不會被 PHP 解析。
PHP 的實現
// 查詢 $calories = 150; $colour = 'red'; $sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour'); $sth->bindValue(':calories', $calories, PDO::PARAM_INT); $sth->bindValue(':colour', $colour, PDO::PARAM_STR); $sth->execute();
// 插入,修改,刪除 $preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)'); $preparedStmt->execute(array(':column' => $unsafeValue));
Laravel 的底層實現
// 查詢的實現 public function select($query, $bindings = [], $useReadPdo = true) { return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) { if ($this->pretending()) { return []; } $statement = $this->prepared( $this->getPdoForSelect($useReadPdo)->prepare($query) ); $this->bindValues($statement, $this->prepareBindings($bindings)); $statement->execute(); return $statement->fetchAll(); }); } // 修改刪除的實現 public function affectingStatement($query, $bindings = []) { return $this->run($query, $bindings, function ($query, $bindings) { if ($this->pretending()) { return 0; } $statement = $this->getPdo()->prepare($query); $this->bindValues($statement, $this->prepareBindings($bindings)); $statement->execute(); $this->recordsHaveBeenModified( ($count = $statement->rowCount()) > 0 ); return $count; }); }
推薦學習:《PHP視頻教程》
