PHP无参数绑定预防SQL注入

Question

可能的重复：
如何防止 PHP 中的 SQL 注入？

我正在制作一个视频我的大学图书馆的流媒体网站。我正在使用 PHP 和 MySql。我在这个项目中没有使用任何参数化查询。

最近我开始了解SQL注入。现在我的代码已经快完成了，过两天就要提交项目了，那么我现在如何确保我的代码不会出现SQL注入呢？

我现在无法将整个事情转换为参数化接口。我现在应该怎么做才能避免我的网站上出现 SQL 注入？

Answer 1

防止 SQL 注入（如果不使用准备语句）的基本思想是转义数据。

当您将一些预期的整数值注入 SQL 查询时，请使用 intval 确保它是一个整数()。

当表中有小数/数字字段时，请使用 floatval() 。

当表中有字符串 (char, varchar, text) 字段时，请使用 API 提供的函数来转义字符串：

• mysql_real_escape_string()
• mysqli_real_escape_string()
• PDO::quote()

Answer 2

我真的建议您返回并使用参数化查询正确执行此操作。这是实现安全的唯一坚实道路。一旦开始，完成此操作可能不会花费太长时间。

您还应该知道网站永远不会“完成”。当您启动网站时，您的工作才刚刚开始。当您了解安全问题时解决它们是其中的一部分，这也不例外。

Answer 3

您需要确保使用 PHP 函数 mysql_real_escape_string 对 SQL 查询中使用的任何用户提供的输入进行转义，并且如果您允许人们提交文本来运行 htmlentities提供的文本，因此 XXS 是不可能的。如果可能，白名单用户提供输入并丢弃其他任何内容

这只是触及您可以做的事情的表面，但要研究查询转义和防止跨站点脚本编写。

Answer 4

使用 PDO（或者 mysqli 或一些抽象层）和准备好的语句。

简单示例：

$pdo = new PDO($dsn);
$stmt = $pdo->prepare("SELECT name FROM users WHERE id = ?");
$stmt->execute(array($unsafe_id));
$name = $stmt->fetchColumn();

在此示例中，$unsafe_id 可以安全使用。引用手册页：

调用 PDO::prepare() 并
PDOStatement::execute() for 语句
将多次发布
具有不同的参数值
优化您的性能
应用程序允许驾驶员
协商客户端和/或服务器端
查询计划和元的缓存
信息，并有助于防止 SQL
通过消除注入攻击
需要手动引用参数。

PDO 将模拟准备好的
语句/绑定参数
本身不支持的驱动程序
他们，也可以重写命名或
问号样式参数标记
到更合适的东西，如果
驱动程序支持一种样式，但不支持
其他。