mysqli 准备好的语句和 mysqli_real_escape_string

Question

我目前正在使用 mysqli php 扩展。

传统上我使用 mysqli_real_escape_string 来转义用户输入。不过，我正在考虑更改代码（希望尽可能少的步骤）以使用准备好的语句。

我想澄清这一点 - 如果我使用准备好的语句来绑定所有变量，我可以确信 sql 注入是不可能的吗？ （并完全免除 mysqli_real_escape_string？）

谢谢

Answer 1

如果正确绑定所有变量，则可以显着降低 SQL 注入的风险。例如，如果您动态创建 SQL，仍然有可能发生 SQL 注入：

'SELECT * FROM ' . $tablename . ' WHERE id = ?'

但是如果您避免这样的事情，则不太可能出现问题。

Answer 2

说到安全性，如果您正确绑定或格式化变量，这两种方法之间没有区别。

绑定更简单，因为它可以用于任何情况，而转义则不能（因此，您必须强制转换一些变量而不是转义/引用）。

另外，请记住，任何绑定或转义都不能使标识符安全。因此，如果您必须在查询中使用字段名称或运算符，则必须使用在脚本中硬编码的值。

Answer 3

这是我对该主题的高级看法。

当使用动态 SQL 字符串时，您依赖于转义函数的正常工作。不幸的是，情况并非总是如此，正如这个（诚然是旧的）示例中所示：

http://dev.mysql.com/doc/refman/5.0/en/news-5-0-22.html

一旦你的数据值被转义， SQL 字符串必须由数据库服务器解析和编译。如果转义函数没有正确完成其工作，或者发现了一种巧妙的新 SQL 注入攻击，服务器就有可能将数据误认为是 SQL 语句。

如果您使用带有参数的预准备语句，则首先会解析和编译该语句。执行时，数据值会与已编译的语句结合起来。这将 SQL 逻辑与数据值分开 - 永远不应该出现混淆两者的机会。

所以，是的，您可以省去mysqli_real_escape_string，但我不会说使用带有参数的准备好的语句会使 SQL 注入变得不可能。这使得事情变得更加困难，但与 mysqli_real_escape_string 错误一样，我猜总有可能一个尚未发现（或新创建）的错误会让看似不可能的事情变成可能。