本篇文章給大家?guī)砹岁P于php的相關知識�,其中主要跟大家聊一聊什么是預處理語句?PHP的預處理查詢是如何防止SQL注入的�?感興趣的朋友下面一起來看一下吧,希望對大家有幫助��。
PHP的預處理查詢是如何防止SQL注入的��?
【資料圖】
目前最有效的防止 sql 注入的方式使用預處理語句和參數化查詢���。
以最常用的 PHP PDO 擴展為例��。
官方文檔中對預處理語句的介紹
PDO 的特性在于驅動程序不支持預處理的時候���,PDO 將模擬處理�����,此時的預處理-參數化查詢過程在 PDO 的模擬器中完成�����。PDO 模擬器根據 DSN 中指定的字符集對輸入參數進行本地轉義,然后拼接成完整的 SQL 語句��,發(fā)送給 MySQL 服務端����。
所以,PDO 模擬器能否正確的轉義輸入參數�,是攔截 SQL 注入的關鍵。
小于 5.3.6 的 PHP 版本�,DSN (Data Source Name) 是默認忽略 charset 參數的。這時如果使用 PDO 的本地轉義��,仍然可能導致 SQL 注入�。
因此,像 Laravel 框架底層會直接設置 PDO::ATTR_EMULATE_PREPARES=false���,來確保 SQL 語句和參數值在被發(fā)送到 MySQL 服務器之前不會被 PHP 解析���。
PHP 的實現
// 查詢$calories = 150;$colour = "red"; $sth = $dbh->prepare("SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour"); $sth->bindValue(":calories", $calories, PDO::PARAM_INT); $sth->bindValue(":colour", $colour, PDO::PARAM_STR); $sth->execute();// 插入,修改�����,刪除$preparedStmt = $db->prepare("INSERT INTO table (column) VALUES (:column)");$preparedStmt->execute(array(":column" => $unsafeValue));Laravel 的底層實現
// 查詢的實現public function select($query, $bindings = [], $useReadPdo = true){ return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) { if ($this->pretending()) { return []; } $statement = $this->prepared( $this->getPdoForSelect($useReadPdo)->prepare($query) ); $this->bindValues($statement, $this->prepareBindings($bindings)); $statement->execute(); return $statement->fetchAll(); });}// 修改刪除的實現public function affectingStatement($query, $bindings = []){ return $this->run($query, $bindings, function ($query, $bindings) { if ($this->pretending()) { return 0; } $statement = $this->getPdo()->prepare($query); $this->bindValues($statement, $this->prepareBindings($bindings)); $statement->execute(); $this->recordsHaveBeenModified( ($count = $statement->rowCount()) > 0 ); return $count; });}推薦學習:《PHP視頻教程》
以上就是一文解析PHP的預處理查詢怎么防止SQL注入的詳細內容���,更多請關注php中文網其它相關文章�����!
關鍵詞:
營業(yè)執(zhí)照公示信息