Jika input pengguna dimasukkan ke dalam pertanyaan SQL tanpa pengubahsuaian, aplikasi terdedah kepada suntikan SQL, seperti dalam contoh berikut:
$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) NILAI ('$unsafe_variable')");
Ini kerana pengguna boleh memasukkan sesuatu seperti Apakah yang boleh dilakukan untuk mengelakkan perkara ini daripada berlaku? value');
INSERT IN TO `table` (`column`) NILAI('value');
Untuk menggunakan pertanyaan berparameter, anda perlu menggunakan Mysqli atau PDO. Untuk menulis semula contoh anda menggunakan mysqli kami memerlukan perkara berikut.
Fungsi utama yang anda perlu baca ialah
mysqli::prepare
.Selain itu, seperti yang dicadangkan oleh orang lain, anda mungkin mendapati menggunakan sesuatu sepertiPDO.
Sila ambil perhatian bahawa kes yang anda tanyakan adalah agak mudah, kes yang lebih kompleks mungkin memerlukan kaedah yang lebih canggih. Terutamanya:
mysql_real_escape_string
mysql_real_escape_string tidak mengandungi pelarian yang diperlukan. Dalam kes ini, lebih baik anda menghantar input pengguna melalui senarai putih untuk memastikan hanya nilai "selamat" dibenarkan.Tidak kira pangkalan data yang anda gunakan, cara yangbetuluntuk mengelakkan serangan suntikan SQL adalah denganmengasingkan data daripada SQLsupaya data masih menjadi data dan>tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Anda boleh membuat pernyataan SQL menggunakan bahagian data yang diformat dengan betul, tetapi jika andasepenuhnyamemahami butirannya, anda harus sentiasamenggunakan pernyataan yang disediakan dan pertanyaan berparameter.ialah pernyataan SQL yang dihantar dan dihuraikan oleh pelayan pangkalan data secara berasingan daripada sebarang parameter. Dengan cara ini adalah mustahil bagi penyerang untuk menyuntik SQL berniat jahat.
Anda pada asasnya mempunyai dua pilihan untuk mencapai ini:
GunakanPDO(untuk mana-mana pemacu pangkalan data yang disokong):
GunakanMySQLi(untuk MySQL):
Bermula dari PHP 8.2+, kita boleh menggunakanexecute_query()untuk menyediakan, mengikat parameter dan melaksanakan pernyataan SQL dalam satu kaedah:
Sehingga PHP8.1:
Jika anda menyambung ke pangkalan data selain MySQL, anda boleh merujuk kepada pilihan khusus pemacu kedua (cth.,
untuk PostgreSQL). PDO ialah pilihan universal.pg_prepare()
pg_prepare()dan pg_execute()
Sediakan sambungan dengan betul PDO
Sila ambil perhatian bahawa apabila menggunakanPDOuntuk mengakses pangkalan data MySQL,sebenarpenyata yang disediakantidak digunakan secara lalai. Untuk menyelesaikan isu ini, anda mesti melumpuhkan simulasi kenyataan yang disediakan. Contoh mencipta sambungan menggunakanPDO
ialah: Dalam contoh di atas, mod ralat tidak begitu diperlukan,tetapi disyorkan untuk menambahnyaPDOException
. Dengan cara ini, PDO akan memberitahu anda tentang semua ralat MySQL dengan membuang PDOException.Walau bagaimanapun,
yang pertama, yang memberitahu PDO untuk melumpuhkan kenyataan simulasi yang disediakan dan menggunakan pernyataan kenyataan yang disediakansetAttribute()
memaksaialah barissetAttribute()sebenar
charset字符集
. Ini memastikan pernyataan dan nilai tidak dihuraikan oleh PHP sebelum dihantar ke pelayan MySQL (memberi peluang kepada bakal penyerang untuk menyuntik SQL yang berniat jahat).Walaupun anda boleh menetapkandalam pilihan pembina, adalah penting untuk ambil perhatian bahawa versi "lama" PHP (sebelum 5.3.6)
abaikan parameter charset secara senyapdalam DSN.
Mysqli Untuk mysqli kita kena ikut rutin yang sama:Arahan
Apabila anda lulus
prepare
的SQL语句由数据库服务器解析和编译。通过指定参数(?
或命名参数,如上例中的:name
),您可以告诉数据库引擎您要过滤的位置。然后,当您调用execute
, pernyataan yang disediakan akan digabungkan dengan nilai parameter yang anda tentukan.Perkara penting di sini ialah nilai parameter digabungkan dengan pernyataan yang disusun, bukan rentetan SQL. Suntikan SQL berfungsi dengan menipu skrip supaya mengandungi rentetan berniat jahat apabila ia mencipta SQL untuk dihantar ke pangkalan data. Jadi dengan menghantar SQL sebenar secara berasingan daripada parameter, anda mengehadkan risiko berakhir dengan sesuatu yang tidak dijangka.
Sebarang parameter yang anda hantar apabila menggunakan penyata yang disediakan akan dianggap sebagai rentetan (walaupun enjin pangkalan data mungkin melakukan beberapa pengoptimuman, jadi parameter sudah tentu akan dianggap sebagai nombor juga). Dalam contoh di atas, jika
$name
变量包含'Sarah'; DELETE FROMEmployees
结果只是搜索字符串"'Sarah'; DELETE FROMEmployees"
, dan anda tidak akan mendapatmeja kosong.Faedah lain menggunakan pernyataan yang disediakan ialah jika anda melaksanakan pernyataan yang sama beberapa kali dalam sesi yang sama, ia hanya akan dihuraikan dan disusun sekali, sekali gus meningkatkan kelajuan.
Oh, kerana anda bertanya bagaimana untuk membuat sisipan, berikut adalah contoh (menggunakan PDO):
Bolehkah pernyataan yang disediakan digunakan untuk pertanyaan dinamik?
Walaupun anda masih boleh menggunakan pernyataan yang disediakan dengan parameter pertanyaan, struktur pertanyaan dinamik itu sendiri tidak boleh diparameterkan dan fungsi pertanyaan tertentu juga tidak boleh diparameterkan.
Untuk senario khusus ini, perkara terbaik untuk dilakukan ialah menggunakan penapis senarai putih untuk mengehadkan nilai yang mungkin.