PHP中该怎样防止SQL注入

由于用户的输入多是这样的：

1	value'); DROP TABLE table;--

　　那么SQL查询将变成以下：

1	INSERT  INTO  ` table ` (` column `) VALUES ( 'value' ); DROP  TABLE  table ; --')

　　应该采起哪些有效的方法来防止SQL注入？

 

　最佳回答（来自Theo）：

　　使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析，参数将会被看成普通字符处理。这种方式使得攻击者没法注入恶意的SQL。 你有两种选择来实现该方法：

　　一、使用PDO：

1 2 3 4 5 6 7

$stmt  = $pdo ->prepare( 'SELECT * FROM employees WHERE name = :name' );   $stmt ->execute( array ( 'name'  => $name ));   foreach  ( $stmt  as  $row ) {      // do something with $row }

　　二、使用mysqli：

1 2 3 4 5 6 7 8 9

$stmt = $dbConnection->prepare( 'SELECT * FROM employees WHERE name = ?' ); $stmt->bind_param( 's' , $name);   $stmt->execute();   $result = $stmt->get_result(); while  ($row = $result->fetch_assoc()) {      // do something with $row }

　PDO

　　注意，在默认状况使用PDO并无让MySQL数据库执行真正的预处理语句（缘由见下文）。为了解决这个问题，你应该禁止PDO模拟预处理语句。一个正确使用PDO建立数据库链接的例子以下：

1 2 3 4

$dbConnection  = new  PDO( 'mysql:dbname=dbtest;host=127.0.0.1;charset=utf8' , 'user' , 'pass' );   $dbConnection ->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection ->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

　　在上面的例子中，报错模式(ATTR_ERRMODE)并非必须的，但建议加上它。这样，当发生致命错误(Fatal Error)时，脚本就不会中止运行，而是给了程序员一个捕获PDOExceptions的机会，以便对错误进行妥善处理。 然而，第一个setAttribute()调用是必须的，它禁止PDO模拟预处理语句，而使用真正的预处理语句，即有MySQL执行预处理语句。这能确保语句和参数在发送给MySQL以前没有被PHP处理过，这将使得攻击者没法注入恶意SQL。了解缘由，可参考这篇博文：PDO防注入原理分析以及使用PDO的注意事项。 注意在老版本的PHP(<5.3.6)，你没法经过在PDO的构造器的DSN上设置字符集，参考：silently ignored the charset parameter。

　解析

　　当你将SQL语句发送给数据库服务器进行预处理和解析时发生了什么？经过指定占位符（一个?或者一个上面例子中命名的 :name），告诉数据库引擎你想在哪里进行过滤。当你调用execute的时候，预处理语句将会与你指定的参数值结合。 关键点就在这里：参数的值是和通过解析的SQL语句结合到一块儿，而不是SQL字符串。SQL注入是经过触发脚本在构造SQL语句时包含恶意的字符串。因此，经过将SQL语句和参数分开，你防止了SQL注入的风险。任何你发送的参数的值都将被看成普通字符串，而不会被数据库服务器解析。回到上面的例子，若是$name变量的值为 ’Sarah’; DELETE FROM employees ，那么实际的查询将是在 employees 中查找 name 字段值为 ’Sarah’; DELETE FROM employees 的记录。 另外一个使用预处理语句的好处是：若是你在同一次数据库链接会话中执行一样的语句许屡次，它将只被解析一次，这能够提高一点执行速度。 若是你想问插入该如何作，请看下面这个例子（使用PDO）：