無(wú)論您使用哪種資料庫(kù)����,避免SQL 注入攻擊的正確方法都是將資料與SQL 分離,這樣資料仍然是數(shù)據(jù)�,並且 >永遠(yuǎn)不會(huì)被SQL 解析器解釋為指令?�?梢允褂酶袷秸_的資料部分建立 SQL 語(yǔ)句��,但如果您完全不了解詳細(xì)信息��,則應(yīng)始終使用準(zhǔn)備好的語(yǔ)句和參數(shù)化查詢(xún)���。 是與任何參數(shù)分開(kāi)傳送到資料庫(kù)伺服器並由資料庫(kù)伺服器解析的 SQL 語(yǔ)句�。這樣攻擊者就不可能注入惡意SQL。
您基本上有兩個(gè)選項(xiàng)來(lái)實(shí)現(xiàn)此目的:
-
使用PDO(用於任何支援的資料庫(kù)驅(qū)動(dòng)程式):
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute([ 'name' => $name ]);
foreach ($stmt as $row) {
// Do something with $row
}
-
使用MySQLi(用於MySQL):
從 PHP 8.2 開(kāi)始��,我們可以使用 execute_query() 在一個(gè)方法中準(zhǔn)備��、綁定參數(shù)並執(zhí)行 SQL 語(yǔ)句:
$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
// Do something with $row
}
最高可達(dá) PHP8.1:
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// Do something with $row
}
如果您要連接到MySQL 以外的資料庫(kù)�����,則可以參考特定於驅(qū)動(dòng)程式的第二個(gè)選項(xiàng)(例如�,pg_prepare() 和pg_execute() 對(duì)於PostgreSQL) ����。 PDO 是通用選項(xiàng)。
正確設(shè)定連接
PDO
請(qǐng)注意�,當(dāng)使用PDO存取MySQL資料庫(kù)時(shí)����,真正的準(zhǔn)備好的語(yǔ)句預(yù)設(shè)不使用。要解決此問(wèn)題��,您必須停用準(zhǔn)備語(yǔ)句的模擬�。使用 PDO 建立連接的範(fàn)例是:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
在上面的範(fàn)例中,錯(cuò)誤模式並不是絕對(duì)必要的��,但建議添加它。這樣����,PDO 將透過(guò)拋出 PDOException 的方式通知您所有 MySQL 錯(cuò)誤。
但是����,強(qiáng)制是第一行setAttribute() 行,它告訴PDO 禁用模擬準(zhǔn)備好的語(yǔ)句並使用真實(shí)準(zhǔn)備好的語(yǔ)句聲明����。這可以確保語(yǔ)句和值在傳送到 MySQL 伺服器之前不會(huì)被 PHP 解析(讓可能的攻擊者沒(méi)有機(jī)會(huì)注入惡意 SQL)。
雖然您可以在建構(gòu)函數(shù)的選項(xiàng)中設(shè)定字元集����,但請(qǐng)務(wù)必注意,「較舊」版本的PHP(5.3.6 之前)默默地忽略了DSN 中的字符集參數(shù)���。
Mysqli
對(duì)於 mysqli�����,我們必須遵循相同的例程:
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // charset
說(shuō)明
您傳遞給prepare的SQL語(yǔ)句由資料庫(kù)伺服器解析和編譯����。透過(guò)指定參數(shù)(? 或命名參數(shù),如上例中的 :name)���,您可以告訴資料庫(kù)引擎您要過(guò)濾的位置����。然後��,當(dāng)您呼叫 execute 時(shí)���,準(zhǔn)備好的語(yǔ)句將與您指定的參數(shù)值結(jié)合。
這裡重要的是參數(shù)值與編譯後的語(yǔ)句結(jié)合在一起�����,而不是 SQL 字串�����。 SQL 注入的工作原理是在腳本建立要傳送到資料庫(kù)的 SQL 時(shí)欺騙腳本包含惡意字串����。因此,透過(guò)將實(shí)際的 SQL 與參數(shù)分開(kāi)傳送���,您可以限制最終出現(xiàn)意外結(jié)果的風(fēng)險(xiǎn)����。
您在使用準(zhǔn)備好的語(yǔ)句時(shí)發(fā)送的任何參數(shù)都會(huì)被視為字串(儘管資料庫(kù)引擎可能會(huì)進(jìn)行一些最佳化,因此參數(shù)當(dāng)然也可能最終被視為數(shù)字)�����。在上面的範(fàn)例中���,如果$name 變數(shù)包含'Sarah'; DELETE FROMEmployees 結(jié)果只是搜尋字串"'Sarah'; DELETE FROMEmployees"�����,並且最終不會(huì)得到一個(gè)空表�。
使用準(zhǔn)備好的語(yǔ)句的另一個(gè)好處是�,如果您在同一個(gè)會(huì)話中多次執(zhí)行相同的語(yǔ)句,它只會(huì)被解析和編譯一次�����,從而提高速度��。
哦,既然您詢(xún)問(wèn)瞭如何進(jìn)行插入�����,這裡有一個(gè)範(fàn)例(使用 PDO):
$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute([ 'column' => $unsafeValue ]);
準(zhǔn)備好的語(yǔ)句可以用於動(dòng)態(tài)查詢(xún)嗎�����?
雖然您仍然可以對(duì)查詢(xún)參數(shù)使用準(zhǔn)備好的語(yǔ)句�����,但動(dòng)態(tài)查詢(xún)本身的結(jié)構(gòu)無(wú)法參數(shù)化�����,而且某些查詢(xún)功能也無(wú)法參數(shù)化��。
對(duì)於這些特定場(chǎng)景���,最好的方法是使用白名單過(guò)濾器來(lái)限制可能的值。
// Value whitelist
// $dir can only be 'DESC', otherwise it will be 'ASC'
if (empty($dir) || $dir !== 'DESC') {
$dir = 'ASC';
}
