PHP 關於SQL注入的防範措施。

標籤：

    最近在使用架構的時候還是有點不安，不知道架構的設計者有沒有考慮到SQL-Injection的問題，我在頂層需不需要做一些必要的過濾等等，由此我特意的去StackOverflow看了下，真是獲益良多，然後我去看了下架構的DB庫的內部方法，然後就比較安心了。分享下國內外PHP程式員在處理SQL-Injection的一些方案。

    國外普遍都推薦，只要你是使用查詢都應該做到兩點：1.prepared statements（準備好的聲明） 2.parameterized queries （參數化的查詢請求）。

我一開始也不理解這個是什麼意思，後來看他們舉例就大概知道了。比較安全的SQL，你需要一開始對查詢的變數進行準備。如：

$name = $_POST[‘name‘];$sql = ‘select * from user where name‘.$name;

那麼最好就是對$name先處理下，

$name = mysql_real_escape_string($_POST[‘name‘]);//

然後，讓請求過來的變數成為參數，而不是SQL語言本身。

$sql = ‘select * from user where name=\‘‘.$name.‘\‘‘;

當然，這種寫法還是比較粗糙。

所以，一般都會推薦使用PDO 或者是MYSQLI的prepare() excute()方法。

$stmt = $pdo->prepare(‘SELECT * FROM user WHERE name = :name‘);$stmt->execute(array(‘name‘ => $name));

關於PDO::prepare()

這樣做的好處就是，你不再需要擔心查詢請求會插入一些SQL語句，因為這些語句都將會當作是請求變數(一個字串或者是數字)，不再會誤以為是SQL語言本身。這樣可以大大的減少SQL注入的機會。

PHP 關於SQL注入的防範措施。