如果没有对用户输入进行任何修改就插入到SQL查询中,那么应用程序就会容易受到SQL注入攻击,就像以下示例中的那样:
$unsafe\_variable = $\_POST['user\_input'];
mysql\_query("INSERT INTO `table` (`column`) VALUES ('$unsafe\_variable')");
这是因为用户可以输入类似于“value'); DROP TABLE table;--”的内容,查询就变成了:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
为了防止这种情况发生,可以采取以下措施:
- 使用预处理语句(Prepared Statements)或参数化查询(Parameterized Queries),这样可以将用户输入作为参数传递给查询,而不是将其直接嵌入到查询中。例如:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES (?)", $unsafe_variable);
- 对用户输入进行验证和过滤,确保输入的数据符合预期的格式和类型。可以使用正则表达式或其他验证方法来实现。例如:
$unsafe_variable = $_POST['user_input'];
if (preg_match('/^[a-zA-Z0-9]+$/', $unsafe_variable)) {
mysql_query("INSERT INTO `table` (`column`) VALUES (?)", $unsafe_variable);
} else {
// 处理无效输入的情况
}
避免SQL注入攻击的正确方法是将数据与SQL分离,这样数据将保持数据的形式,并且永远不会被SQL解析器解释为命令。无论使用哪种数据库,都可以通过使用预处理语句和参数化查询来确保安全。这些是单独发送到数据库服务器并与任何参数一起解析的SQL语句。这样,攻击者就无法注入恶意SQL。
基本上有两种方法来实现这一点:
- 对于支持的数据库驱动程序,可以使用PDO:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);
foreach ($stmt as $row) {
// 使用$row做一些事情
}
- 对于MySQL,可以使用MySQLi(自PHP 8.2+):
自PHP 8.2+起,我们可以利用execute_query()**方法,它将准备、绑定参数和执行SQL语句结合在一起:
$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
// 使用$row做一些事情
}
直到PHP 8.1:
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's'指定变量类型 => 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// 使用$row做一些事情
}
如果连接到的数据库不是MySQL,还可以参考特定于驱动程序的第二个选项(例如,pg_prepare()和pg_execute()用于PostgreSQL)。PDO是通用选项。
正确设置连接
PDO
注意,当使用PDO访问MySQL数据库*时,默认情况下不会使用真正的预处理语句。要修复此问题,必须禁用模拟预处理语句。以下是使用PDO创建连接的示例:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
在上面的示例中,错误模式并非严格必要,但建议添加它。这样,PDO将通过抛出PDOException通知您所有MySQL错误。
然而,强制要求的是第一行setAttribute(),它告诉PDO禁用模拟预处理语句并使用真正的预处理语句。这可以确保在将语句和值发送到MySQL服务器之前,它们不会被PHP解析(从而给攻击者提供注入恶意SQL的机会)。
尽管可以在构造函数的选项中设置charset,但值得注意的是,在旧版本的PHP(低于5.3.6)中,DSN中的charset参数会被静默忽略。
Mysqli
对于mysqli,我们必须遵循相同的例程:
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集
重要的是参数值与编译后的语句结合在一起,而不是一个SQL字符串。SQL注入通过在创建要发送到数据库的SQL时欺骗脚本来包含恶意字符串。因此,通过将实际的SQL与参数分开发送,可以限制最终得到意外结果的风险。
在使用预处理语句时发送的任何参数都将被视为字符串(尽管数据库引擎可能会进行一些优化,使参数也可能成为数字)。在上面的示例中,如果$name变量包含'Sarah'; DELETE FROM employees,结果将只是搜索字符串"'Sarah'; DELETE FROM employees",您不会最终得到一个空表(http://xkcd.com/327/)。
使用预处理语句的另一个好处是,如果您在同一会话中多次执行相同的语句,它只会被解析和编译一次,为您提供一些速度提升。
哦,既然您问到如何为插入操作做这件事,这里有一个示例(使用PDO):
$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute([ 'column' => $unsafeValue ]);
预处理语句可用于动态查询吗?
虽然您可以继续使用预处理语句作为查询参数,但动态查询的结构本身无法参数化,某些查询功能也无法参数化。
对于这些特定场景,最好的做法是使用白名单过滤器来限制可能的值。
// 值白名单
// $dir只能为'DESC',否则为'ASC'
if (empty($dir) || $dir !== 'DESC') {
$dir = 'ASC';
}