PHP中如何防止SQL注入

PHP中如何防止SQL注入

技术背景

如果将用户输入未经修改直接插入到SQL查询中,应用程序就会面临SQL注入的风险。例如:

1
2
$unsafe_variable = $_POST['user_input']; 
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

用户可以输入诸如 value'); DROP TABLE table;-- 之类的内容,使查询变为:

1
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

这可能导致数据库数据被篡改、泄露或删除等严重后果。

实现步骤

使用PDO(适用于任何受支持的数据库驱动)

1
2
3
4
5
6
$stmt = $pdo->prepare('SELECT * FROM users WHERE name = :name');
$stmt->execute([ 'name' => $name ]);

foreach ($stmt as $row) {
    // Do something with $row
}

使用MySQLi(适用于MySQL)

PHP 8.2+

1
2
3
4
$result = $db->execute_query('SELECT * FROM users WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

PHP 8.1及以下

1
2
3
4
5
6
7
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies variable type 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

正确设置连接

PDO

1
2
3
4
5
$dsn = 'mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4';
$dbConnection = new PDO($dsn, 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Mysqli

1
2
3
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // charset

核心代码

PDO插入示例

1
2
$stmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$stmt->execute(['column' => $value]);

MySQLi插入示例

1
2
3
4
5
6
7
8
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("server", "username", "password", "database_name");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
// "s" means the database expects a string
$stmt->bind_param("s", $variable);
$stmt->execute();

最佳实践

  • 使用预处理语句:将数据与SQL分离,避免SQL解析器将数据解释为命令。
  • 输入验证:对用户输入进行验证,确保输入符合预期的数据类型和格式。
  • 使用白名单过滤:对于动态查询的部分,如SQL关键字、表名或字段名等,使用白名单过滤,限制可能的值。
  • 遵循最小权限原则:为数据库用户分配最小的必要权限,避免授予过高的权限。

常见问题

预处理语句能否用于动态查询?

虽然可以对查询参数使用预处理语句,但动态查询的结构本身不能参数化,某些查询功能也不能参数化。对于这些特定场景,最好使用白名单过滤器来限制可能的值。

mysql_real_escape_string 能否防止SQL注入?

mysql_real_escape_string 已被弃用,并且它不足以防止SQL注入。它只能处理字符串中的特殊字符,对于其他类型的输入或复杂的注入场景无效。建议使用预处理语句来防止SQL注入。

性能问题

虽然预处理语句在某些情况下可能会有轻微的性能开销,但它们在安全性上的优势远远超过了性能损失。而且,如果在同一会话中多次执行相同的语句,预处理语句只会被解析和编译一次,还能带来一定的性能提升。

后端开发 > 数据库安全
#后端开发 #MySQL #PHP #SQL注入预防 #预处理语句
PHP中如何防止SQL注入
https://119291.xyz/posts/2025-04-22.php-sql-injection-prevention/
作者
ww
发布于
2025年4月23日
许可协议