阻止 sql 注入攻击对于维护 php 应用程序的安全至关重要。 sql 注入是一个漏洞,允许攻击者在您的数据库上执行任意 sql 代码,可能导致数据泄露或丢失。这是防止 php 中 sql 注入攻击的分步指南,配有实践示例和说明。
当用户输入未正确清理并合并到 sql 查询中时,就会发生 sql 注入。例如,如果用户输入恶意 sql 代码,它可能会操纵您的查询来执行意外操作。
sql 注入示例:
// vulnerable code $user_id = $_get['user_id']; $query = "select * from users where id = $user_id"; $result = mysqli_query($conn, $query);
如果 user_id 设置为 1 or 1=1,则查询变为:
select * from users where id = 1 or 1=1
此查询将返回 users 表中的所有行,因为 1=1 始终为 true。
准备好的语句是防御 sql 注入的关键。它们将 sql 逻辑与数据分开,并确保用户输入被视为数据而不是可执行代码。
立即学习“PHP免费学习笔记(深入)”;
简介PHP轻论坛是一个简单易用的PHP论坛程序,适合小型社区和个人网站使用。v3.0版本是完全重构的版本,解决了之前版本中的所有已知问题,特别是MySQL保留字冲突问题。主要特点• 简单易用:简洁的界面,易于安装和使用• 响应式设计:适配各种设备,包括手机和平板• 安全可靠:避免使用MySQL保留字,防止SQL注入• 功能完善:支持分类、主题、回复、用户管理等基本功能• 易于扩展:模块化设计,便于
21
将 mysqli 与准备好的语句结合使用:
$conn = new mysqli("localhost", "username", "password", "database");
if ($conn->connect_error) {
die("connection failed: " . $conn->connect_error);
}
$stmt = $conn->prepare("select * from users where id = ?");
$stmt->bind_param("i", $user_id); // "i" indicates the type is integer
$user_id = $_get['user_id']; $stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// process results
}
$stmt->close(); $conn->close();
完整示例:
<?php
// database connection
$conn = new mysqli("localhost", "username", "password", "database");
if ($conn->connect_error) {
die("connection failed: " . $conn->connect_error);
}
// prepare statement
$stmt = $conn->prepare("select * from users where id = ?");
if ($stmt === false) {
die("prepare failed: " . $conn->error);
}
// bind parameters
$user_id = $_get['user_id'];
$stmt->bind_param("i", $user_id);
// execute statement
$stmt->execute();
// get results
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
echo "user id: " . $row['id'] . "<br>";
echo "user name: " . $row['name'] . "<br>";
}
// close statement and connection
$stmt->close();
$conn->close();
?>
php 数据对象 (pdo) 提供类似的针对 sql 注入的保护并支持多个数据库系统。
将 pdo 与准备好的语句结合使用:
try {
$pdo = new pdo("mysql:host=localhost;dbname=database", "username", "password");
$pdo->setattribute(pdo::attr_errmode, pdo::errmode_exception);
} catch (pdoexception $e) {
die("connection failed: " . $e->getmessage());
}
$stmt = $pdo->prepare("select * from users where id = :id");
$stmt->bindparam(':id', $user_id, pdo::param_int);
$user_id = $_get['user_id'];
$stmt->execute();
$results = $stmt->fetchall(pdo::fetch_assoc);
foreach ($results as $row) {
echo "user id: " . $row['id'] . "<br>";
echo "user name: " . $row['name'] . "<br>";
}
完整示例:
<?php
try {
// Database connection
$pdo = new PDO("mysql:host=localhost;dbname=database", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// Prepare statement
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");
// Bind parameters
$user_id = $_GET['user_id'];
$stmt->bindParam(':id', $user_id, PDO::PARAM_INT);
// Execute statement
$stmt->execute();
// Fetch results
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
foreach ($results as $row) {
echo "User ID: " . $row['id'] . "<br>";
echo "User Name: " . $row['name'] . "<br>";
}
} catch (PDOException $e) {
die("Error: " . $e->getMessage());
}
?>
阻止 sql 注入攻击对于保护 php 应用程序至关重要。通过将准备好的语句与 mysqli 或 pdo 一起使用,您可以确保用户输入得到安全处理,而不是作为 sql 查询的一部分执行。遵循这些最佳实践将有助于保护您的应用程序免受最常见的 web 漏洞之一的影响。
以上就是保护 PHP 应用程序免受 SQL 注入攻击的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
649
收藏
