日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
PHP中該怎樣防止SQL注入?

問題描述:

如果用戶輸入的數(shù)據(jù)在未經(jīng)處理的情況下插入到一條SQL查詢語句,那么應(yīng)用將很可能遭受到SQL注入攻擊,正如下面的例子:

成都創(chuàng)新互聯(lián)是專業(yè)的梁平網(wǎng)站建設(shè)公司,梁平接單;提供成都網(wǎng)站制作、網(wǎng)站設(shè)計、外貿(mào)網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進行梁平網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

 
 
      
  
  1. $unsafe_variable = $_POST['user_input'];   
    2.   
  
  2.    
    3.   
  
  3. mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");   
    4.

因為用戶的輸入可能是這樣的:

 
 
      
  
  1. value'); DROP TABLE table;-- 
    2.

那么SQL查詢將變成如下:

 
 
      
  
  1. INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--') 
    2.

應(yīng)該采取哪些有效的方法來防止SQL注入?

最佳回答(來自Theo):

使用預(yù)處理語句和參數(shù)化查詢。預(yù)處理語句和參數(shù)分別發(fā)送到數(shù)據(jù)庫服務(wù)器進行解析,參數(shù)將會被當(dāng)作普通字符處理。這種方式使得攻擊者無法注入惡意的SQL。 你有兩種選擇來實現(xiàn)該方法:

1、使用PDO:

 
 
      
  
  1. $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');  
    2.   
  
  2.    
    3.   
  
  3. $stmt->execute(array('name' => $name));  
    4.   
  
  4.    
    5.   
  
  5. foreach ($stmt as $row) {  
    6.   
  
  6.     // do something with $row  
    7.   
  
    8.

2、使用mysqli:

  
 
       
  
  1. $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');  
    2.    
  
  2. $stmt->bind_param('s', $name);  
    3.    
  
  3.    
    4.    
  
  4. $stmt->execute();  
    5.    
  
  5.    
    6.    
  
  6. $result = $stmt->get_result();  
    7.    
  
  7. while ($row = $result->fetch_assoc()) {  
    8.    
  
  8.     // do something with $row  
    9.    
  
    10.

PDO

注意,在默認(rèn)情況使用PDO并沒有讓MySQL數(shù)據(jù)庫執(zhí)行真正的預(yù)處理語句(原因見下文)。為了解決這個問題,你應(yīng)該禁止PDO模擬預(yù)處理語句。一個正確使用PDO創(chuàng)建數(shù)據(jù)庫連接的例子如下:

 
 
      
  
  1. $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');  
    2.   
  
  2.    
    3.   
  
  3. $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);  
    4.   
  
  4. $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 
    5.

在上面的例子中,報錯模式(ATTR_ERRMODE)并不是必須的,但建議加上它。這樣,當(dāng)發(fā)生致命錯誤(Fatal Error)時,腳本就不會停止運行,而是給了程序員一個捕獲PDOExceptions的機會,以便對錯誤進行妥善處理。 然而,第一個setAttribute()調(diào)用是必須的,它禁止PDO模擬預(yù)處理語句,而使用真正的預(yù)處理語句,即有MySQL執(zhí)行預(yù)處理語句。這能確保語句和參數(shù)在發(fā)送給MySQL之前沒有被PHP處理過,這將使得攻擊者無法注入惡意SQL。了解原因,可參考這篇博文:PDO防注入原理分析以及使用PDO的注意事項。 注意在老版本的PHP(<5.3.6),你無法通過在PDO的構(gòu)造器的DSN上設(shè)置字符集,參考:silently ignored the charset parameter。

解析

當(dāng)你將SQL語句發(fā)送給數(shù)據(jù)庫服務(wù)器進行預(yù)處理和解析時發(fā)生了什么?通過指定占位符(一個?或者一個上面例子中命名的 :name),告訴數(shù)據(jù)庫引擎你想在哪里進行過濾。當(dāng)你調(diào)用execute的時候,預(yù)處理語句將會與你指定的參數(shù)值結(jié)合。 關(guān)鍵點就在這里:參數(shù)的值是和經(jīng)過解析的SQL語句結(jié)合到一起,而不是SQL字符串。SQL注入是通過觸發(fā)腳本在構(gòu)造SQL語句時包含惡意的字符串。所以,通過將SQL語句和參數(shù)分開,你防止了SQL注入的風(fēng)險。任何你發(fā)送的參數(shù)的值都將被當(dāng)作普通字符串,而不會被數(shù)據(jù)庫服務(wù)器解析?;氐缴厦娴睦?,如果$name變量的值為 ’Sarah’; DELETE FROM employees ,那么實際的查詢將是在 employees 中查找 name 字段值為 ’Sarah’; DELETE FROM employees 的記錄。 另一個使用預(yù)處理語句的好處是:如果你在同一次數(shù)據(jù)庫連接會話中執(zhí)行同樣的語句許多次,它將只被解析一次,這可以提升一點執(zhí)行速度。 如果你想問插入該如何做,請看下面這個例子(使用PDO):

 
 
      
  
  1. $preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');  
    2.   
  
  2.    
    3.   
  
  3. $preparedStatement->execute(array('column' => $unsafeValue)); 
    4.

網(wǎng)頁題目:PHP中該怎樣防止SQL注入?
網(wǎng)頁網(wǎng)址:http://www.dlmjj.cn/article/djoppis.html