我建了一个网站,即将上线,有几个关于防止SQL注入的问题,我知道如何使用mysqli_real_escape_string, 但我想知道是否需要对所有用于SQL语句的变量都使用它,以及在执行select语句时,是否也要使用它,或者只需在insert、update和delete语句中使用?此外,在我上线之前,您还推荐我实施哪些其他安全措施?非常感谢您的帮助!
PHP MySQLI如何防止SQL注入攻击?
52
- user2201765
3
1个回答
64
任何查询都可以被注入,无论是读取还是写入、持续性的还是瞬时性的。可以通过结束一个查询并运行另一个查询(使用 mysqli 可能会出现这种情况),从而使有意义的查询变得不相关。
来自外部源的任何输入(无论是来自用户还是内部)都应该被视为查询的参数,并在查询上下文中作为参数。查询中的任何参数都需要被参数化。这将导致一个正确参数化的查询,您可以从中创建一个准备好的语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?是参数的占位符。使用mysqli,您可以使用prepare创建一个预处理语句,使用bind_param将变量(参数)绑定到参数,并使用execute运行查询。 您不需要对参数进行任何净化处理(实际上这样做是有害的)。mysqli会替您完成此操作。完整的过程是:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询(parameterized query)和预处理语句(prepared statement)之间也有一个重要的区别。即使该语句是经过预处理的,但它并没有被参数化,因此容易受到注入攻击:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结:
- 所有查询都应该适当地进行参数化(除非它们没有参数)
- 所有查询的参数都应该被视为尽可能有敌意(不论它们的来源如何)
- Explosion Pills
6
很好,能够展示如何使用这些神奇语句与任意数量的元素一起使用的 IN 或 SET 子句,这将更加实用。否则就像电视广告一样,看上去简单,但无法在家中使用。 - Your Common Sense
@YourCommonSense 我认为这有点超出了这个问题的范围,但我倾向于像这个答案一样做:https://dev59.com/i2TVa4cB1Zd3GeqP_xu-#10698906 - Explosion Pills
非常感谢您提供如此详细的答案!这似乎比使用
mysqli_real_escape_string 更好的解决方案。我一定会再仔细研究一下,然后实施它。非常感谢! - user2201765您所链接的主题中没有使用mysqli预处理语句。 - Your Common Sense
@YourCommonSense 这个更好吗?https://dev59.com/5HRC5IYBdhLWcg3wVvct - Explosion Pills
不完全正确。自那时起,PHP已经改变了规则,这段代码会抛出一个错误而不是查询结果。 - Your Common Sense
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
mysqli_real_escape_string相关,而你所谈论的问题是关于SQL注入的一般性问题。 - user2201765