防止 PHP 中的 SQL 注入攻擊

在 Web 應用程序中，用戶輸入如果不處理，往往會導致 SQL 注入等漏洞適當?shù)?。當用戶提供的?shù)據(jù)未經(jīng)適當?shù)尿炞C或清理而直接包含在 SQL 語句中時，就會發(fā)生 SQL 注入。

問題

考慮以下 PHP 代碼片段：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

如果用戶輸入惡意數(shù)據(jù)，例如值'); DROP TABLE table;--，SQL 查詢變?yōu)椋?/p>

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

這將導致惡意用戶從數(shù)據(jù)庫中刪除整個表。

解決方案：準備好的語句和參數(shù)化

防止SQL注入的推薦解決方案是使用準備好的語句和參數(shù)化來將數(shù)據(jù)與SQL分離查詢。這確保用戶輸入被視為數(shù)據(jù)而不是可執(zhí)行命令。

使用 PDO

PDO 為各種數(shù)據(jù)庫驅(qū)動程序提供一致且通用的接口。要將預準備語句與 PDO 結合使用：

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Do something with $row
}

使用 MySQLi

對于 MySQL，MySQLi 在 PHP 8.2 中提供了execute_query() 方法：

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

或者，在 PHP 之前的版本中8.2:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type as string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

對于其他數(shù)據(jù)庫驅(qū)動程序，請參閱其具體文檔。

正確的連接設置

為了確保真正的保護，至關重要配置數(shù)據(jù)庫連接正確：

PDO

禁用模擬準備語句：

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

MySQLi

啟用錯誤報告并設置角色set:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');

說明

準備好的語句由數(shù)據(jù)庫服務器解析和編譯，而參數(shù)被視為單獨的值。這可以防止惡意輸入被解釋為命令。

結論

通過使用準備好的語句和參數(shù)化，您可以有效地保護您的 PHP Web 應用程序免受 SQL 注入攻擊并維護數(shù)據(jù)完整性。

以上是準備好的語句如何防止 PHP 應用程序中的 SQL 注入攻擊？的詳細內(nèi)容。更多信息請關注PHP中文網(wǎng)其他相關文章！