php/mysqli（准备好的语句和绑定参数）如何防止 SQL 注入？

Question

php/mysqli（带有准备好的语句+绑定参数）如何防止 SQL 注入？ Mysqli 仅对变量应用“real_escape_string”还是做其他事情？

我可以说，当使用 mysqli + 准备好的语句 + 绑定参数时，下面的函数完全没用吗？

function no_injection ( $data ) {
$data = trim(strip_tags($data)); // no htm in this case.
$data = get_magic_quotes_gpc() == 0 ? addslashes($data) : $data; // useless.
$data = preg_replace("@(--|\#|;)@s", """, $data); // <--- USELESS ?
return $data;
}

谢谢

Answer 1

addslashes() 不支持 unicode。有相当多的 unicode 序列看起来像普通文本，但在由非 unicode 识别代码处理时会变成不同的东西，从而允许恶意用户构造一个“有效”unicode 字符串，一旦 addslashes 破坏该字符串，就会引发 SQL 注入攻击。

您的正则表达式也是如此。您尚未启用 unicode 模式，因此它可能会允许恶意 unicode 字符泄漏并成为常规的 iso8859 字符，从而破坏查询。

除此之外，每个数据库都有自己的转义要求。 MySQL 理解并尊重反斜杠进行转义，因此 ' 变为 \'。但另一个数据库可能会使用 '' 作为转义的 '，并且为该数据库应用 MySQL 转义序列将是无用的。

准备好的语句允许查询和数据完全分离。当您手动编写自己的查询时，数据库服务器绝对无法知道查询字符串的一部分可能是恶意的并对其进行特殊处理。它只看到一个查询字符串。

使用准备好的语句，查询主体和进入查询的数据在到达数据库服务器之前保持分离，并且数据库服务器可以自行处理转义。

在现实世界中，这就像递给某人一条有毒的面包和递给他们一篮子牛奶、鸡蛋、面粉、一瓶毒药、酵母等之间的区别……没有办法知道面包里有毒，直到吃完之后就死了。当有了成分（又名准备好的语句）时，数据库服务器将看到那瓶毒药并知道如何处理它。

Answer 2

它还缓存查询，这将通过更多“调用”来提高性能。

-> http://dev.mysql.com/ doc/refman/5.1/en/c-api-prepared-statements.html
-> 我应该在 PHP 性能中使用 MySQL 的预准备语句吗-WISE？