在 PHP 中使用准备好的语句/存储过程时，如何保护自己免受 SQL 注入？

Question

自从阅读此 mysql_real_escape_string 足以防 SQL 注入吗？

我见过这个非常好的线程 如何防止 PHP 中的 SQL 注入？

我经常这样做桌面/内部工具上的 ms sql server 东西，我们总是编写存储过程来防止这种情况，所以我使用 PDO http://php.net/manual/en/pdo.prepared-statements.php< /a>

上面有一行：

准备好的语句的参数不需要加引号；驱动程序会自动处理这个问题。如果应用程序专门使用准备好的语句，则开发人员可以确保不会发生 SQL 注入（但是，如果查询的其他部分是使用未转义的输入构建的，则 SQL 注入仍然是可能的）。

我一直相信 PDO 确实可以防止 sql 注入攻击，所以任何人都可以提供一个从安全角度来看 PDO 不够的实例吗？

Answer 1

您仍然可以从内部使用 PREPARE 语法（在 MySQL 中）创建动态 SQL 语句的存储过程获取 SQL 注入。

这些需要非常小心地完成，必要时使用 QUOTE()。

理想情况下，我们不需要在存储例程中使用 PREPARE，但在某些情况下它变得很难避免：

• 在 MySQL 5.5 之前，LIMIT 子句不能使用非常量值。
• IN() 子句中使用的列表不能（明智地）参数化，因此如果使用此模式，则需要使用动态 SQL
• 有时需要使用动态生成的 ORDER BY 子句。

等

在有必要使用 PREPARE 的情况下，那么我会建议，按优先顺序：

• 如果某物是 INT 类型（等），则它不易受到 SQL 注入的影响，并且您可以将值放入查询中，而无需使用问题（例如对于 LIMIT）
• 字符串值可以在 EXECUTE 之前放入 @variable 中，或者传递到 EXECUTE 子句
• 列表值（例如对于 IN()）需要检查有效性。
• 最后，QUOTE() 可用于引用字符串值，这在某些情况下很有用

Answer 2

起决定性作用的不是您使用的结构（存储过程、准备好的语句等），而是您是否在任何时候使用未经检查的用户输入将 SQL 连接在一起。例如，您可以从存储过程中执行动态 SQL，在这种情况下危险仍然存在。

最简单的方法（从避免注入的角度来看）是使用带有绑定变量的 SP 或 PS：这些不需要检查，因为它们将被识别为预定义占位符内的值。