PHP 關於SQL注入的防範措施。

來源:互聯網
上載者:User

標籤:

最近在使用架構的時候還是有點不安,不知道架構的設計者有沒有考慮到SQL-Injection的問題,我在頂層需不需要做一些必要的過濾等等,由 此我特意的去StackOverflow看了下,真是獲益良多,然後我去看了下架構的DB庫的內部方法,然後就比較安心了。分享下國內外PHP程式員在處 理SQL-Injection的一些方案。

 

    國外普遍都推薦,只要你是使用查詢都應該做到兩點:1.prepared statements(準備好的聲明) 2.parameterized queries (參數化的查詢請求)

我一開始也不理解這個是什麼意思,後來看他們舉例就大概知道了。比較安全的SQL,你需要一開始對查詢的變數進行準備。如:

$name = $_POST[‘name‘];$sql = ‘select * from user where name‘.$name;

那麼最好就是對$name先處理下,

$name = mysql_real_escape_string($_POST[‘name‘]);

然後,讓請求過來的變數成為參數,而不是SQL語言本身。

    $sql = ‘select * from user where name=\‘‘.$name.‘\‘‘;

當然,這種寫法還是比較粗糙。

所以,一般都會推薦使用PDO 或者是MYSQLI的prepare() excute()方法。

$stmt = $pdo->prepare(‘SELECT * FROM user WHERE name = :name‘);$stmt->execute(array(‘name‘ => $name));

關於PDO::prepare()

這樣做的好處就是,你不再需要擔心查詢請求會插入一些SQL語句,因為這些語句都將會當作是請求變數(一個字串或者是數字),不再會誤以為是SQL語言本身。這樣可以大大的減少SQL注入的機會。

 

PHP 關於SQL注入的防範措施。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.