日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

一文解析PHP的預處理查詢怎么防止SQL注入

發布時間:2023-03-11 17:46:04 作者:網友整理

本篇文章給大家帶來了關于php的相關知識,其中主要跟大家聊一聊什么是預處理語句?PHP的預處理查詢是如何防止SQL注入的?感興趣的朋友下面一起來看一下吧,希望對大家有幫助。


一文解析PHP的預處理查詢怎么防止SQL注入


PHP的預處理查詢是如何防止SQL注入的?

目前最有效的防止 sql 注入的方式使用預處理語句和參數化查詢。

以最常用的 PHP PDO 擴展為例。

官方文檔中對預處理語句的介紹

什么是預處理語句?

可以把它看作是想要運行的 SQL 的一種編譯過的模板,它可以使用變量參數進行定制。

預處理語句的兩大好處:

1;查詢僅需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好后,數據庫將分析、編譯和優化執行該查詢的計劃。對于復雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重復相同的查詢,那么該過程將大大降低應用程序的速度。通過使用預處理語句,可以避免重復分析 / 編譯 / 優化周期。簡言之,預處理語句占用更少的資源,因而運行得更快。

2.提供給預處理語句的參數不需要用引號括起來,驅動程序會自動處理。如果應用程序只使用預處理語句,可以確保不會發生 SQL 注入。(然而,如果查詢的其他部分是由未轉義的輸入來構建的,則仍存在 SQL 注入的風險)。

PDO 的特性在于驅動程序不支持預處理的時候,PDO 將模擬處理,此時的預處理-參數化查詢過程在 PDO 的模擬器中完成。PDO 模擬器根據 DSN 中指定的字符集對輸入參數進行本地轉義,然后拼接成完整的 SQL 語句,發送給 MySQL 服務端。

所以,PDO 模擬器能否正確的轉義輸入參數,是攔截 SQL 注入的關鍵。

小于 5.3.6 的 PHP 版本,DSN (Data Source Name) 是默認忽略 charset 參數的。這時如果使用 PDO 的本地轉義,仍然可能導致 SQL 注入。

因此,像 Laravel 框架底層會直接設置 PDO::ATTR_EMULATE_PREPARES=false,來確保 SQL 語句和參數值在被發送到 MySQL 服務器之前不會被 PHP 解析。

PHP 的實現

// 查詢
$calories = 150;
$colour = 'red';  
$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour');  
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);  
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);  
$sth->execute();
// 插入,修改,刪除
$preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStmt->execute(array(':column' => $unsafeValue));

Laravel 的底層實現

// 查詢的實現
public function select($query, $bindings = [], $useReadPdo = true)
{
    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {
        if ($this->pretending()) {
                return [];
        }
        $statement = $this->prepared(
                $this->getPdoForSelect($useReadPdo)->prepare($query)
        );
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        return $statement->fetchAll();
    });
}
// 修改刪除的實現
public function affectingStatement($query, $bindings = [])
{
    return $this->run($query, $bindings, function ($query, $bindings) {
        if ($this->pretending()) {
                return 0;
        }
        $statement = $this->getPdo()->prepare($query);
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        $this->recordsHaveBeenModified(
                ($count = $statement->rowCount()) > 0
        );
        return $count;
    });
}


分享到:
標簽:PHP預處理查詢 PHP防止SQL注入
用戶無頭像

網友整理

注冊時間:

網站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網站吧!
最新入駐小程序

數獨大挑戰2018-06-03

數獨一種數學游戲,玩家需要根據9

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學四六

運動步數有氧達人2018-06-03

記錄運動步數,積累氧氣值。還可偷

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定