PHP中防止SQL注入

標籤：employees   name   comm   表達   string   pdo   使用者   ash   pre   

防止SQL注入，我們需要注意以下幾個要點：

• 1.永遠不要信任使用者的輸入。對使用者的輸入進行校正，可以通過Regex，或限制長度；對單引號和 雙"-"進行轉換等。
• 2.永遠不要使用動態拼裝sql，可以使用參數化的sql或者直接使用預存程序進行資料查詢存取。
• 3.永遠不要使用管理員權限的資料庫連接，為每個應用使用單獨的許可權有限的資料庫連接。
• 4.不要把機密資訊直接存放，加密或者hash掉密碼和敏感的資訊。
• 5.應用的異常資訊應該給出儘可能少的提示，最好使用自訂的錯誤資訊對原始錯誤資訊進行封裝

到底我們能做什麼去防止sql注入呢？

1、通過使用先行編譯語句（prepared statements）

使用PDO對象（對於任何資料庫驅動都好用）

$stmt = $pdo->prepare(‘SELECT * FROM employees WHERE name = :name‘);

$stmt->execute(array(‘name‘ => $name));

foreach ($stmt as $row) {

　　// do something with $row

}

2、參數化查詢（parameterized queries）

使用MySqli

$stmt = $dbConnection->prepare(‘SELECT * FROM employees WHERE name = ?‘);

$stmt->bind_param(‘s‘, $name);

$stmt->execute();

PHP中防止SQL注入