PHP避免SQL注入的常用方法

更新時間：2024年04月20日 12:08:28 投稿：yin

在開發(fā)php網(wǎng)站時,經(jīng)常需要和數(shù)據(jù)庫交互來存儲和獲取數(shù)據(jù),然而,如果不對用戶輸入的數(shù)據(jù)進行處理,就可能會導致SQL注入攻擊,SQL注入是一種常見的安全漏洞,攻擊者可以通過惡意構(gòu)造的輸入數(shù)據(jù)來進入到數(shù)據(jù)庫中,從而獲取或篡改數(shù)據(jù)的行為

在開發(fā)php網(wǎng)站時，經(jīng)常需要和數(shù)據(jù)庫交互來存儲和獲取數(shù)據(jù)。然而，如果不對用戶輸入的數(shù)據(jù)進行處理，就可能會導致SQL注入攻擊。SQL注入是一種常見的安全漏洞，攻擊者可以通過惡意構(gòu)造的輸入數(shù)據(jù)來進入到數(shù)據(jù)庫中，從而獲取或篡改數(shù)據(jù)的行為。

為了避免SQL注入攻擊，可以采取以下三種主要方法：

1.使用參數(shù)化查詢

參數(shù)化查詢是防止SQL注入攻擊最有效的手段之一。在使用參數(shù)化查詢時，所有的用戶輸入都會被作為參數(shù)傳遞給預定義的SQL語句，而不是直接拼接到SQL語句中。這樣可以防止攻擊者將惡意的SQL代碼插入到查詢語句中。

<?php
// 假設已經(jīng)連接到數(shù)據(jù)庫
$mysqli = new mysqli("localhost", "username", "password", "database");
// 檢查連接是否成功
if ($mysqli->connect_error) {
    die("連接失敗: " . $mysqli->connect_error);
}
// 預備一個參數(shù)化查詢
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
// 綁定參數(shù)
$username = "exampleUser";
$password = "examplePass";
$stmt->bind_param("ss", $username, $password);
// 執(zhí)行查詢
$stmt->execute();
// 綁定結(jié)果變量
$stmt->bind_result($user_id, $user_name, $user_pass);
// 獲取結(jié)果
while ($stmt->fetch()) {
    echo "ID: " . $user_id . " - Name: " . $user_name . " - Pass: " . $user_pass . "<br>";
}
// 關閉語句
$stmt->close();
// 關閉連接
$mysqli->close();
?>

這段代碼展示了如何使用mysqli擴展庫中的prepare和bind_param方法來創(chuàng)建一個參數(shù)化查詢，通過使用`?`占位符來指定參數(shù)的位置，這樣無論用戶輸入的是什么，都不會破壞原有的SQL語句結(jié)構(gòu)，可以有效預防SQL注入攻擊。在實際應用中，應該確保從用戶那里獲取的所有數(shù)據(jù)都應該被當作不信任的輸入，并且在插入數(shù)據(jù)庫之前進行適當?shù)那謇砘蛘唑炞C。

2.輸入驗證和過濾

輸入驗證和過濾是防止SQL注入攻擊的重要手段之一，通過對用戶輸入數(shù)據(jù)進行驗證和過濾，可以排除潛在的安全風險。驗證和過濾通常指的是對輸入數(shù)據(jù)進行檢查，確保它符合預期的格式或值，并去除可能對應用程序造成威脅的不安全元素。PHP內(nèi)置了一些函數(shù)來幫助我們實現(xiàn)這些任務。

在驗證用戶輸入時，應該注意以下幾點：

-長度驗證：限制輸入的最大長度，以防止輸入超出預期范圍。

-數(shù)據(jù)類型驗證：檢查輸入的數(shù)據(jù)是否符合預期的數(shù)據(jù)類型，如數(shù)字、日期等。

-白名單驗證：只允許特定的字符或者字符集合，排除其他潛在的惡意字符。

filter_var 函數(shù)過濾用戶輸入的數(shù)據(jù)

filter_var(variable, filter, options)

參數(shù)	描述
variable	必需。規(guī)定要過濾的變量。
filter	可選。規(guī)定要使用的過濾器的 ID。默認是 FILTER_SANITIZE_STRING。完整的 PHP Filter 參考手冊如下表
options	可選。規(guī)定一個包含標志/選項的關聯(lián)數(shù)組或者一個單一的標志/選項。檢查每個過濾器可能的標志和選項。

完整的 PHP Filter 參考手冊

ID 名稱	描述
FILTER_CALLBACK	調(diào)用用戶自定義函數(shù)來過濾數(shù)據(jù)。
FILTER_SANITIZE_STRING	去除標簽，去除或編碼特殊字符。
FILTER_SANITIZE_STRIPPED	"string" 過濾器的別名。
FILTER_SANITIZE_ENCODED	URL-encode 字符串，去除或編碼特殊字符。
FILTER_SANITIZE_SPECIAL_CHARS	HTML 轉(zhuǎn)義字符 '"<>& 以及 ASCII 值小于 32 的字符。
FILTER_SANITIZE_EMAIL	刪除所有字符，除了字母、數(shù)字以及 !#$%&'*+-/=?^_`{\|}~@.[]
FILTER_SANITIZE_URL	刪除所有字符，除了字母、數(shù)字以及 $-_.+!*'(),{}\|\^~[]`<>#%";/?:@&=
FILTER_SANITIZE_NUMBER_INT	刪除所有字符，除了數(shù)字和 +-
FILTER_SANITIZE_NUMBER_FLOAT	刪除所有字符，除了數(shù)字、+- 以及 .,eE
FILTER_SANITIZE_MAGIC_QUOTES	應用 addslashes()。
FILTER_UNSAFE_RAW	不進行任何過濾，去除或編碼特殊字符。
FILTER_VALIDATE_INT	把值作為整數(shù)來驗證。
FILTER_VALIDATE_BOOLEAN	把值作為布爾選項來驗證。如果是 "1"、"true"、"on" 和 "yes"，則返回 TRUE。如果是 "0"、"false"、"off"、"no" 和 ""，則返回 FALSE。否則返回 NULL。
FILTER_VALIDATE_FLOAT	把值作為浮點數(shù)來驗證。
FILTER_VALIDATE_REGEXP	根據(jù) regexp（一種兼容 Perl 的正則表達式）來驗證值。
FILTER_VALIDATE_URL	把值作為 URL 來驗證。
FILTER_VALIDATE_EMAIL	把值作為 e-mail 地址來驗證。
FILTER_VALIDATE_IP	把值作為 IP 地址來驗證，只限 IPv4 或 IPv6 或不是來自私有或者保留的范圍。

htmlspecialchars() 轉(zhuǎn)換為HTML實體

函數(shù)把預定義的字符轉(zhuǎn)換為HTML實體。

預定義的字符是：

& （和號）成為 &
" （雙引號）成為 "
' （單引號）成為 '
< （小于）成為 <
> （大于）成為 >

mysqli_real_escape_string

這個函數(shù)可以將字符串中的特殊字符轉(zhuǎn)義，從而防止對數(shù)據(jù)庫產(chǎn)生影響。在數(shù)據(jù)存儲到數(shù)據(jù)庫之前，應該對用戶輸入的數(shù)據(jù)進行轉(zhuǎn)義處理。這是因為用戶輸入的數(shù)據(jù)可能包含特殊字符，而為了保護數(shù)據(jù)庫的完整性和安全性，應該在將數(shù)據(jù)插入數(shù)據(jù)庫之前進行轉(zhuǎn)義。

// 假設 $conn 是已經(jīng)通過 mysqli_connect 建立的數(shù)據(jù)庫連接
// 假設 $input 是需要轉(zhuǎn)義的字符串
$conn = new mysqli('localhost', 'username', 'password', 'database');
// 檢查連接是否成功
if ($conn->connect_error) {
    die("連接失敗: " . $conn->connect_error);
}
$input = "O'Reilly";
$escaped_input = $conn->real_escape_string($input);
// 現(xiàn)在可以安全地使用 $escaped_input 在 SQL 查詢中
// 例如：SELECT * FROM users WHERE name = '$escaped_input';