在日常的學習、工作、生活中，肯定對各類范文都很熟悉吧。范文書寫有哪些要求呢？我們怎樣才能寫好一篇范文呢？接下來小編就給大家介紹一下優秀的范文該怎么寫，我們一起來看一看吧。

php防止sql注入篇一

如果用戶輸入的數據在未經處理的情況下插入到一條sql查詢語句，那么應用將很可能遭受到sql注入攻擊。下面是小編為大家帶來的關于php中該怎樣防止sql注入的知識，歡迎閱讀。

如果用戶輸入的數據在未經處理的情況下插入到一條sql查詢語句，那么應用將很可能遭受到sql注入攻擊，正如下面的例子：

$unsafe_variable = $_post['user_input'];

mysql_query("insert into `table` (`column`) values ('" . $unsafe_variable . "')");

因為用戶的輸入可能是這樣的：

value'); drop table table;--

那么sql查詢將變成如下：

insert into `table` (`column`) values('value'); drop table table;--')

應該采取哪些有效的方法來防止sql注入?

最佳回答(來自theo)：

使用預處理語句和參數化查詢。預處理語句和參數分別發送到數據庫服務器進行解析，參數將會被當作普通字符處理。這種方式使得攻擊者無法注入惡意的sql。 你有兩種選擇來實現該方法：

$stmt = $pdo->prepare('select * from employees where name = :name');

$stmt->execute(array('name' => $name));

foreach ($stmt as $row) {

// do something with $row

}

2、使用mysqli：

$stmt = $dbconnection->prepare('select * from employees where name = ?');

$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

// do something with $row

}

注意，在默認情況使用pdo并沒有讓mysql數據庫執行真正的'預處理語句(原因見下文)。為了解決這個問題，你應該禁止pdo模擬預處理語句。一個正確使用pdo創建數據庫連接的例子如下：

$dbconnection = new pdo('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbconnection->setattribute(pdo::attr_emulate_prepares, false);

$dbconnection->setattribute(pdo::attr_errmode, pdo::errmode_exception);

在上面的例子中，報錯模式(attr_errmode)并不是必須的，但建議加上它。這樣，當發生致命錯誤(fatal error)時，腳本就不會停止運行，而是給了程序員一個捕獲pdoexceptions的機會，以便對錯誤進行妥善處理。 然而，第一個setattribute()調用是必須的，它禁止pdo模擬預處理語句，而使用真正的預處理語句，即有mysql執行預處理語句。這能確保語句和參數在發送給mysql之前沒有被php處理過，這將使得攻擊者無法注入惡意sql。了解原因，可參考這篇博文：pdo防注入原理分析以及使用pdo的注意事項。 注意在老版本的php(<5.3.6)，你無法通過在pdo的構造器的dsn上設置字符集，參考：silently ignored the charset parameter。

當你將sql語句發送給數據庫服務器進行預處理和解析時發生了什么?通過指定占位符(一個?或者一個上面例子中命名的 :name)，告訴數據庫引擎你想在哪里進行過濾。當你調用execute的時候，預處理語句將會與你指定的參數值結合。 關鍵點就在這里：參數的值是和經過解析的sql語句結合到一起，而不是sql字符串。sql注入是通過觸發腳本在構造sql語句時包含惡意的字符串。所以，通過將sql語句和參數分開，你防止了sql注入的風險。任何你發送的參數的值都將被當作普通字符串，而不會被數據庫服務器解析。回到上面的例子，如果$name變量的值為 ’sarah’; delete from employees ，那么實際的查詢將是在 employees 中查找 name 字段值為 ’sarah’; delete from employees 的記錄。 另一個使用預處理語句的好處是：如果你在同一次數據庫連接會話中執行同樣的語句許多次，它將只被解析一次，這可以提升一點執行速度。 如果你想問插入該如何做，請看下面這個例子(使用pdo)：

$preparedstatement = $db->prepare('insert into table (column) values (:column)');

$preparedstatement->execute(array('column' => $unsafevalue));

s("content_relate");

【php中該怎樣防止sql注入】相關文章：

php中防止sql注入的解決方法

08-16

在php中阻止sql注入式攻擊的方法

09-18

php的漏洞-如何防止php漏洞

09-22

php爬蟲程序中怎么樣偽造ip地址防止被封

09-21

php防止表單重復提交的方法

09-30

php中的trait

09-17

php中json應用

08-20

php中php://input和$-post有什么不同

09-12

php中iconv函數知識

09-20