技术背景

如果将用户输入未经修改直接插入到SQL查询中，应用程序就会面临SQL注入的风险。例如：

$unsafe_variable = $_POST['user_input']; 
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

用户可以输入诸如 value'); DROP TABLE table;-- 之类的内容，使查询变为：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

这可能导致数据库数据被篡改、泄露或删除等严重后果。

实现步骤

使用PDO（适用于任何受支持的数据库驱动）

$stmt = $pdo->prepare('SELECT * FROM users WHERE name = :name');
$stmt->execute([ 'name' => $name ]);

foreach ($stmt as $row) {
    // Do something with $row
}

使用MySQLi（适用于MySQL）

PHP 8.2+

$result = $db->execute_query('SELECT * FROM users WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

PHP 8.1及以下

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies variable type 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

正确设置连接

PDO

$dsn = 'mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4';
$dbConnection = new PDO($dsn, 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Mysqli

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // charset

核心代码

PDO插入示例

$stmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$stmt->execute(['column' => $value]);

MySQLi插入示例

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("server", "username", "password", "database_name");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
// "s" means the database expects a string
$stmt->bind_param("s", $variable);
$stmt->execute();

最佳实践

• 使用预处理语句：将数据与SQL分离，避免SQL解析器将数据解释为命令。
• 输入验证：对用户输入进行验证，确保输入符合预期的数据类型和格式。
• 使用白名单过滤：对于动态查询的部分，如SQL关键字、表名或字段名等，使用白名单过滤，限制可能的值。
• 遵循最小权限原则：为数据库用户分配最小的必要权限，避免授予过高的权限。

常见问题

预处理语句能否用于动态查询？

虽然可以对查询参数使用预处理语句，但动态查询的结构本身不能参数化，某些查询功能也不能参数化。对于这些特定场景，最好使用白名单过滤器来限制可能的值。

mysql_real_escape_string能否防止SQL注入？

mysql_real_escape_string 已被弃用，并且它不足以防止SQL注入。它只能处理字符串中的特殊字符，对于其他类型的输入或复杂的注入场景无效。建议使用预处理语句来防止SQL注入。

性能问题

虽然预处理语句在某些情况下可能会有轻微的性能开销，但它们在安全性上的优势远远超过了性能损失。而且，如果在同一会话中多次执行相同的语句，预处理语句只会被解析和编译一次，还能带来一定的性能提升。