一尘不染

PHP MySQLI防止SQL注入[重复]

mysql

这个问题已经在这里有了答案

如何防止PHP中进行SQL注入? (28个答案)

7年前关闭。

我已经建立了一个网站,该网站即将上线,并且有几个关于防止SQL注入的问题,我知道如何使用,mysqli_real_escape_string但是我只是想知道是否必须在要获取的所有变量上使用它SQL语句,是否在执行select语句时还是在插入更新和删除时必须使用它?另外,在我将网站投入使用之前,您还建议我实施哪些其他安全措施,在此先感谢您的帮助!


阅读 275

收藏
2020-05-17

共1个答案

一尘不染

任何查询都可以被注入,无论是读取还是写入,持久性还是瞬时性。可以通过结束一个查询并运行一个单独的查询(可能带有mysqli)来执行注入,这会使所需的查询变得无关紧要。

来自外部源的查询的任何输入,无论是来自用户还是内部的输入,都应视为该查询的参数以及该查询上下文中的参数。查询中的任何参数都需要参数化。这会导致参数化查询正确,您可以从中创建准备好的语句并使用参数执行。例如:

SELECT col1 FROM t1 WHERE col2 = ?

?是参数的占位符。使用mysqli,您可以使用创建一个准备好的语句,使用来prepare将变量(参数)绑定到参数bind_param,然后使用来运行查询execute。您根本不需要清理参数(实际上这样做是有害的)。
mysqli为您做到这一点。整个过程将是:

$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();

参数化查询预备语句 之间也有重要区别。该语句在准备时并未进行参数化,因此容易注入:

$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");

总结一下:

  • 所有 查询都应正确参数化(除非它们没有参数)
  • __不论其来源如何,查询的 所有 参数都应被视为具有敌意
2020-05-17