zoukankan      html  css  js  c++  java
  • 使用PDO查询mysql避免SQL注入

    使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严紧,就有SQL注入风险。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。

    PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展来跟各个数据库的连接和处理,如 php_mysql.dll。 PHP6中也将默认使用PDO的方式连接,mysql扩展将被作为辅助 。官方地址:http://php.net/manual/en/book.pdo.php


    1. PDO配置

    使用PDO扩展之前,先要启用这个扩展,php.ini中,去掉"extension=php_pdo.dll"前面的";"号,若要连接数据库,还需要去掉与PDO相关的数据库扩展前面的";"号(一般用的是php_pdo_mysql.dll),然后重启Apache服务器即可。

    extension=php_pdo.dll 
    extension=php_pdo_mysql.dll

    2. PDO连接mysql数据库

    $dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password");
    默认不是长连接,若要使用数据库长连接,可以在最后加如下参数:

    $dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password","array(PDO::ATTR_PERSISTENT => true) "); 
    $dbh = null; //(释放)

    3. PDO设置属性

    PDO有三种错误处理方式:

    PDO::ERrmODE_SILENT不显示错误信息,只设置错误码

    PDO::ERrmODE_WARNING显示警告错

    PDO::ERrmODE_EXCEPTION抛出异常

    可通过以下语句来设置错误处理方式为抛出异常

    $db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);
    因为不同数据库对返回的字段名称大小写处理不同,所以PDO提供了PDO::ATTR_CASE设置项(包括PDO::CASE_LOWER,PDO::CASE_NATURAL,PDO::CASE_UPPER),来确定返回的字段名称的大小写。

    通过设置PDO::ATTR_ORACLE_NULLS类型(包括PDO::NULL_NATURAL,PDO::NULL_EmpTY_STRING,PDO::NULL_TO_STRING)来指定数据库返回的NULL值在php中对应的数值。


    4. PDO常用方法及其应用

    PDO::query() 主要是用于有记录结果返回的操作,特别是SELECT操作

    PDO::exec() 主要是针对没有结果集合返回的操作,如INSERT、UPDATE等操作

    PDO::prepare() 主要是预处理操作,需要通过$rs->execute()来执行预处理里面的SQL语句,这个方法可以绑定参数,功能比较强大(防止sql注入就靠这个)

    PDO::lastInsertId() 返回上次插入操作,主键列类型是自增的最后的自增ID 

    PDOStatement::fetch() 是用来获取一条记录

    PDOStatement::fetchAll() 是获取所有记录集到一个集合

    PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段,缺省是第一个字段

    PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集,对PDO::exec()方法和SELECT操作无效。


    5.PDO操作MYSQL数据库实例

    <?php 
    $pdo = new PDO("mysql:host=localhost;dbname=mydb","root",""); 
    if($pdo -> exec("insert into mytable(name,content) values('fdipzone','123456')")){ 
    echo "insert success"; 
    echo $pdo -> lastinsertid(); 
    } 
    ?>
    <?php 
    $pdo = new PDO("mysql:host=localhost;dbname=mydb","root",""); 
    $rs = $pdo -> query("select * from table"); 
    $rs->setFetchMode(PDO::FETCH_ASSOC); //关联数组形式
    //$rs->setFetchMode(PDO::FETCH_NUM); //数字索引数组形式
    while($row = $rs -> fetch()){ 
        print_r($row); 
    } 
    ?> 
    <?php
    foreach( $db->query( "SELECT * FROM table" ) as $row )
    {
        print_r( $row );
    }
    ?>
    统计有多少行数据:

    <?php
    $sql="select count(*) from table";
    $num = $dbh->query($sql)->fetchColumn();
    ?>
    prepare方式:

    <?php
    $query = $dbh->prepare("select * from table");
    if ($query->execute()) {
        while ($row = $query->fetch()) {
            print_r($row);
        }
    }
    ?>
    prepare参数化查询:

    <?php
    $query = $dbh->prepare("select * from table where id = ?");
    if ($query->execute(array(1000))) { 
        while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
            print_r($row);
        }
    }
    ?>
    使用PDO访问MySQL数据库时,真正的real prepared statements 默认情况下是不使用的。为了解决这个问题,你必须禁用 prepared statements的仿真效果。下面是使用PDO创建链接的例子:
    <?php
    $dbh = new PDO('mysql:dbname=mydb;host=127.0.0.1;charset=utf8', 'root', 'pass');
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
    ?>
    setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。

    虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。


    完整的代码使用实例:

    <?php
    $dbh = new PDO("mysql:host=localhost; dbname=mydb", "root", "pass");
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
    $dbh->exec("set names 'utf8'"); 
    $sql="select * from table where username = ? and password = ?";
    $query = $dbh->prepare($sql); 
    $exeres = $query->execute(array($username, $pass)); 
    if ($exeres) { 
        while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
            print_r($row);
        }
    }
    $dbh = null;
    ?>
    上面这段代码就可以防范sql注入。为什么呢?

    当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,它们是分开传送的,两者独立的,SQL攻击者没有一点机会。


    但是我们需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入。

    不能让占位符 ? 代替一组值,这样只会获取到这组数据的第一个值,如:

    select * from table where userid in ( ? );

    如果要用in來查找,可以改用find_in_set()实现

    $ids = '1,2,3,4,5,6';
    select * from table where find_in_set(userid, ?);

    不能让占位符代替数据表名或列名,如:

    select * from table order by ?;
    不能让占位符 ? 代替任何其他SQL语法,如:

    select extract( ? from addtime) as mytime from table;



  • 相关阅读:
    Linux IO接口 监控 (iostat)
    linux 防火墙 命令
    _CommandPtr 添加参数 0xC0000005: Access violation writing location 0xcccccccc 错误
    Visual Studio自动关闭
    Linux vsftpd 安装 配置
    linux 挂载外部存储设备 (mount)
    myeclipse 9.0 激活 for win7 redhat mac 亲测
    英文操作系统 Myeclipse Console 乱码问题
    Linux 基本操作命令
    linux 查看系统相关 命令
  • 原文地址:https://www.cnblogs.com/fdipzone/p/3715050.html
Copyright © 2011-2022 走看看