PHP的預(yù)處理查詢?nèi)绾畏乐筍QL注入

這篇文章主要講解了“PHP的預(yù)處理查詢?nèi)绾畏乐筍QL注入”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“PHP的預(yù)處理查詢?nèi)绾畏乐筍QL注入”吧！

從策劃到設(shè)計(jì)制作，每一步都追求做到細(xì)膩，制作可持續(xù)發(fā)展的企業(yè)網(wǎng)站。為客戶提供成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、網(wǎng)站策劃、網(wǎng)頁(yè)設(shè)計(jì)、申請(qǐng)域名、網(wǎng)頁(yè)空間、網(wǎng)絡(luò)營(yíng)銷、VI設(shè)計(jì)、 網(wǎng)站改版、漏洞修補(bǔ)等服務(wù)。為客戶提供更好的一站式互聯(lián)網(wǎng)解決方案,以客戶的口碑塑造優(yōu)易品牌,攜手廣大客戶,共同發(fā)展進(jìn)步。

PHP的預(yù)處理查詢是如何防止SQL注入的？

目前最有效的防止 sql 注入的方式使用預(yù)處理語(yǔ)句和參數(shù)化查詢。

以最常用的 PHP PDO 擴(kuò)展為例。

官方文檔中對(duì)預(yù)處理語(yǔ)句的介紹

什么是預(yù)處理語(yǔ)句？

可以把它看作是想要運(yùn)行的 SQL 的一種編譯過(guò)的模板，它可以使用變量參數(shù)進(jìn)行定制。

預(yù)處理語(yǔ)句的兩大好處：

1；查詢僅需解析（或預(yù)處理）一次，但可以用相同或不同的參數(shù)執(zhí)行多次。當(dāng)查詢準(zhǔn)備好后，數(shù)據(jù)庫(kù)將分析、編譯和優(yōu)化執(zhí)行該查詢的計(jì)劃。對(duì)于復(fù)雜的查詢，此過(guò)程要花費(fèi)較長(zhǎng)的時(shí)間，如果需要以不同參數(shù)多次重復(fù)相同的查詢，那么該過(guò)程將大大降低應(yīng)用程序的速度。通過(guò)使用預(yù)處理語(yǔ)句，可以避免重復(fù)分析 / 編譯 / 優(yōu)化周期。簡(jiǎn)言之，預(yù)處理語(yǔ)句占用更少的資源，因而運(yùn)行得更快。

2.提供給預(yù)處理語(yǔ)句的參數(shù)不需要用引號(hào)括起來(lái)，驅(qū)動(dòng)程序會(huì)自動(dòng)處理。如果應(yīng)用程序只使用預(yù)處理語(yǔ)句，可以確保不會(huì)發(fā)生 SQL 注入。（然而，如果查詢的其他部分是由未轉(zhuǎn)義的輸入來(lái)構(gòu)建的，則仍存在 SQL 注入的風(fēng)險(xiǎn)）。

PDO 的特性在于驅(qū)動(dòng)程序不支持預(yù)處理的時(shí)候，PDO 將模擬處理，此時(shí)的預(yù)處理-參數(shù)化查詢過(guò)程在 PDO 的模擬器中完成。PDO 模擬器根據(jù) DSN 中指定的字符集對(duì)輸入?yún)?shù)進(jìn)行本地轉(zhuǎn)義，然后拼接成完整的 SQL 語(yǔ)句，發(fā)送給 MySQL 服務(wù)端。

所以，PDO 模擬器能否正確的轉(zhuǎn)義輸入?yún)?shù)，是攔截 SQL 注入的關(guān)鍵。

小于 5.3.6 的 PHP 版本，DSN (Data Source Name) 是默認(rèn)忽略 charset 參數(shù)的。這時(shí)如果使用 PDO 的本地轉(zhuǎn)義，仍然可能導(dǎo)致 SQL 注入。

因此，像 Laravel 框架底層會(huì)直接設(shè)置 PDO::ATTR_EMULATE_PREPARES=false，來(lái)確保 SQL 語(yǔ)句和參數(shù)值在被發(fā)送到 MySQL 服務(wù)器之前不會(huì)被 PHP 解析。

PHP 的實(shí)現(xiàn)

// 查詢
$calories = 150;
$colour = 'red';  
$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour');  
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);  
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);  
$sth->execute();

// 插入，修改，刪除
$preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStmt->execute(array(':column' => $unsafeValue));

Laravel 的底層實(shí)現(xiàn)

// 查詢的實(shí)現(xiàn)
public function select($query, $bindings = [], $useReadPdo = true)
{
    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {
        if ($this->pretending()) {
                return [];
        }
        $statement = $this->prepared(
                $this->getPdoForSelect($useReadPdo)->prepare($query)
        );
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        return $statement->fetchAll();
    });
}
// 修改刪除的實(shí)現(xiàn)
public function affectingStatement($query, $bindings = [])
{
    return $this->run($query, $bindings, function ($query, $bindings) {
        if ($this->pretending()) {
                return 0;
        }
        $statement = $this->getPdo()->prepare($query);
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        $this->recordsHaveBeenModified(
                ($count = $statement->rowCount()) > 0
        );
        return $count;
    });
}

感謝各位的閱讀，以上就是“PHP的預(yù)處理查詢?nèi)绾畏乐筍QL注入”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)PHP的預(yù)處理查詢?nèi)绾畏乐筍QL注入這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！

當(dāng)前標(biāo)題：PHP的預(yù)處理查詢?nèi)绾畏乐筍QL注入
轉(zhuǎn)載源于：http://muchs.cn/article26/piedjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、外貿(mào)建站、品牌網(wǎng)站設(shè)計(jì)、面包屑導(dǎo)航、Google、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)