在日常的學(xué)習(xí)、工作、生活中，肯定對各類范文都很熟悉吧。范文書寫有哪些要求呢？我們怎樣才能寫好一篇范文呢？接下來小編就給大家介紹一下優(yōu)秀的范文該怎么寫，我們一起來看一看吧。

php防止sql注入篇一

如果用戶輸入的數(shù)據(jù)在未經(jīng)處理的情況下插入到一條sql查詢語句，那么應(yīng)用將很可能遭受到sql注入攻擊。下面是小編為大家?guī)淼年P(guān)于php中該怎樣防止sql注入的知識，歡迎閱讀。

如果用戶輸入的數(shù)據(jù)在未經(jīng)處理的情況下插入到一條sql查詢語句，那么應(yīng)用將很可能遭受到sql注入攻擊，正如下面的例子：

$unsafe_variable = $_post['user_input'];

mysql_query("insert into `table` (`column`) values ('" . $unsafe_variable . "')");

因為用戶的輸入可能是這樣的：

value'); drop table table;--

那么sql查詢將變成如下：

insert into `table` (`column`) values('value'); drop table table;--')

應(yīng)該采取哪些有效的方法來防止sql注入?

最佳回答(來自theo)：

使用預(yù)處理語句和參數(shù)化查詢。預(yù)處理語句和參數(shù)分別發(fā)送到數(shù)據(jù)庫服務(wù)器進行解析，參數(shù)將會被當(dāng)作普通字符處理。這種方式使得攻擊者無法注入惡意的sql。 你有兩種選擇來實現(xiàn)該方法：

$stmt = $pdo->prepare('select * from employees where name = :name');

$stmt->execute(array('name' => $name));

foreach ($stmt as $row) {

// do something with $row

}

2、使用mysqli：

$stmt = $dbconnection->prepare('select * from employees where name = ?');

$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

// do something with $row

}

注意，在默認(rèn)情況使用pdo并沒有讓mysql數(shù)據(jù)庫執(zhí)行真正的'預(yù)處理語句(原因見下文)。為了解決這個問題，你應(yīng)該禁止pdo模擬預(yù)處理語句。一個正確使用pdo創(chuàng)建數(shù)據(jù)庫連接的例子如下：

$dbconnection = new pdo('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbconnection->setattribute(pdo::attr_emulate_prepares, false);

$dbconnection->setattribute(pdo::attr_errmode, pdo::errmode_exception);

在上面的例子中，報錯模式(attr_errmode)并不是必須的，但建議加上它。這樣，當(dāng)發(fā)生致命錯誤(fatal error)時，腳本就不會停止運行，而是給了程序員一個捕獲pdoexceptions的機會，以便對錯誤進行妥善處理。 然而，第一個setattribute()調(diào)用是必須的，它禁止pdo模擬預(yù)處理語句，而使用真正的預(yù)處理語句，即有mysql執(zhí)行預(yù)處理語句。這能確保語句和參數(shù)在發(fā)送給mysql之前沒有被php處理過，這將使得攻擊者無法注入惡意sql。了解原因，可參考這篇博文：pdo防注入原理分析以及使用pdo的注意事項。 注意在老版本的php(<5.3.6)，你無法通過在pdo的構(gòu)造器的dsn上設(shè)置字符集，參考：silently ignored the charset parameter。

當(dāng)你將sql語句發(fā)送給數(shù)據(jù)庫服務(wù)器進行預(yù)處理和解析時發(fā)生了什么?通過指定占位符(一個?或者一個上面例子中命名的 :name)，告訴數(shù)據(jù)庫引擎你想在哪里進行過濾。當(dāng)你調(diào)用execute的時候，預(yù)處理語句將會與你指定的參數(shù)值結(jié)合。 關(guān)鍵點就在這里：參數(shù)的值是和經(jīng)過解析的sql語句結(jié)合到一起，而不是sql字符串。sql注入是通過觸發(fā)腳本在構(gòu)造sql語句時包含惡意的字符串。所以，通過將sql語句和參數(shù)分開，你防止了sql注入的風(fēng)險。任何你發(fā)送的參數(shù)的值都將被當(dāng)作普通字符串，而不會被數(shù)據(jù)庫服務(wù)器解析?；氐缴厦娴睦樱绻?name變量的值為 ’sarah’; delete from employees ，那么實際的查詢將是在 employees 中查找 name 字段值為 ’sarah’; delete from employees 的記錄。 另一個使用預(yù)處理語句的好處是：如果你在同一次數(shù)據(jù)庫連接會話中執(zhí)行同樣的語句許多次，它將只被解析一次，這可以提升一點執(zhí)行速度。 如果你想問插入該如何做，請看下面這個例子(使用pdo)：

$preparedstatement = $db->prepare('insert into table (column) values (:column)');

$preparedstatement->execute(array('column' => $unsafevalue));

s("content_relate");

【php中該怎樣防止sql注入】相關(guān)文章：

php中防止sql注入的解決方法

08-16

在php中阻止sql注入式攻擊的方法

09-18

php的漏洞-如何防止php漏洞

09-22

php爬蟲程序中怎么樣偽造ip地址防止被封

09-21

php防止表單重復(fù)提交的方法

09-30

php中的trait

09-17

php中json應(yīng)用

08-20

php中php://input和$-post有什么不同

09-12

php中iconv函數(shù)知識

09-20