一文解析PHP的预处理查询怎么防止SQL注入-环球微资讯

来源:php中文网 | 2023-03-10 16:07:05 |

本篇文章给大家带来了关于php的相关知识,其中主要跟大家聊一聊什么是预处理语句?PHP的预处理查询是如何防止SQL注入的?感兴趣的朋友下面一起来看一下吧,希望对大家有帮助。

PHP的预处理查询是如何防止SQL注入的?


【资料图】

目前最有效的防止 sql 注入的方式使用预处理语句和参数化查询。

以最常用的 PHP PDO 扩展为例。

官方文档中对预处理语句的介绍

PDO 的特性在于驱动程序不支持预处理的时候,PDO 将模拟处理,此时的预处理-参数化查询过程在 PDO 的模拟器中完成。PDO 模拟器根据 DSN 中指定的字符集对输入参数进行本地转义,然后拼接成完整的 SQL 语句,发送给 MySQL 服务端。

所以,PDO 模拟器能否正确的转义输入参数,是拦截 SQL 注入的关键。

小于 5.3.6 的 PHP 版本,DSN (Data Source Name) 是默认忽略 charset 参数的。这时如果使用 PDO 的本地转义,仍然可能导致 SQL 注入。

因此,像 Laravel 框架底层会直接设置 PDO::ATTR_EMULATE_PREPARES=false,来确保 SQL 语句和参数值在被发送到 MySQL 服务器之前不会被 PHP 解析。

PHP 的实现

// 查询$calories = 150;$colour = "red";  $sth = $dbh->prepare("SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour");  $sth->bindValue(":calories", $calories, PDO::PARAM_INT);  $sth->bindValue(":colour", $colour, PDO::PARAM_STR);  $sth->execute();
// 插入,修改,删除$preparedStmt = $db->prepare("INSERT INTO table (column) VALUES (:column)");$preparedStmt->execute(array(":column" => $unsafeValue));

Laravel 的底层实现

// 查询的实现public function select($query, $bindings = [], $useReadPdo = true){    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {        if ($this->pretending()) {                return [];        }        $statement = $this->prepared(                $this->getPdoForSelect($useReadPdo)->prepare($query)        );        $this->bindValues($statement, $this->prepareBindings($bindings));        $statement->execute();        return $statement->fetchAll();    });}// 修改删除的实现public function affectingStatement($query, $bindings = []){    return $this->run($query, $bindings, function ($query, $bindings) {        if ($this->pretending()) {                return 0;        }        $statement = $this->getPdo()->prepare($query);        $this->bindValues($statement, $this->prepareBindings($bindings));        $statement->execute();        $this->recordsHaveBeenModified(                ($count = $statement->rowCount()) > 0        );        return $count;    });}

推荐学习:《PHP视频教程》

以上就是一文解析PHP的预处理查询怎么防止SQL注入的详细内容,更多请关注php中文网其它相关文章!

关键词:

图片推荐

4TB高速数据仓库 金士顿XS2000移动固态硬盘 4TB高速数据仓库 金士顿XS2000移动固态硬盘
一文解析PHP的预处理查询怎么防止SQL注入-环球微资讯 一文解析PHP的预处理查询怎么防止SQL注入-环球微资讯
steam默认文件夹是哪个-全球今日讯 steam默认文件夹是哪个-全球今日讯
计算机软件系统包括哪两类-每日消息 计算机软件系统包括哪两类-每日消息

要闻

【达摩院OpenVI】图像MOS评价协助清理“垃圾”照片-世界热闻
西南证券:通过百度智能云接入文心一言能力
画小兔子最简单的方法_画小兔子图片-资讯推荐
荔湾广场为什么_荔湾广场5层为啥不能去
©2003-2020   WEB开发网 版权所有.

联系网站:920 891 263@qq.com 京ICP备2022016840号-36 营业执照公示信息