php pdo防sql注入原理 php连接池

头像
tomener
    阅读 3 分钟
    1

    pdo防sql注入原理

    PdoTest.php

    class PdoTest()
{
    protected $db;

    protected $user;

    protected $pass;

    public function __construct($user = 'root', $pass = 123456)
    {
        $this->user = $user;
        $this->pass = $pass;
        $this->db = new PDO('mysql:host=localhost;dbname=test', $this->user, $this->pass);
    }

    function test()
    {
        //$userName = "tomener' or 1=1;--";
        $userName = 'tomener';
        $userName = isset($_GET['userName']) ? trim($_GET['userName']) : $userName;
        echo '<br>' . $userName . '<br>';

        // 方式一
        $sql = 'select * from user where userName = ? and status = ?';
        $stmt = $this->db->prepare($sql);
        $stmt->execute(array($userName, 1));
        $user_info = $stmt->fetch(PDO::FETCH_ASSOC);
        echo '<pre>';var_dump($user_info);

        // 方式二
        $sql = "select * from user where userName = '". $userName ."' and status = 1"
        $stmt =$this->db->prepare($sql);
        $stmt->execute();
        $user_info = $stmt->fetchAll(PDO::FETCH_ASSOC);
        echo '<pre>';var_dump($user_info);
    }
}

$PdoTest = new PdoTest();
$PdoTest->test();

    访问:

    http://localhost/PdoTest.php

    状态:方式一、方式二都正常

    访问:

    http://localhost/PdoTest.php?userName=tomener' or 1=1;--
http://localhost/PdoTest.php?userName=tomener%27%20or%201=1;--

    状态:方式一返回false,方式二返回user表所有数据

    问题来了,为什么pdo预处理能正确处理sql注入呢?

    mysql预处理语句,mysql支持预处理,sql已经预编译好了,坑已经挖好了,来一个填一个,不会改变原本sql的意思,那么后面的or 1=1;--根本不会被mysql编译成执行计划,被当作普通的字符串处理,没任何意义。

    通俗的理解,就像是填空题,你只能在括号里面填写内容,并且这句话是预知的,如果这句话的意思都变了,那么就出现异常了,当然这样的理解不准确

    获取姓名是()并且状态为()的用户,

    如果是sql注入,那么就变成,

    获取姓名是()或者所有用户

    显然,这和我们预先设定的意思是不一样的

    php连接池

    方式一:

    程序使用持久连接(PDO::ATTR_PERSISTENT)访问数据库,则一个PHP-FPM工作进程对应一个到MySQL的长连接.
    请求结束后,PHP不会释放到MySQL的连接,以便下次重用,这个过程对程序是透明的.
    这可以看作是PHP-FPM维护的"数据库连接池".
    假如你的服务器有12个核心(超线程),你开启24个PHP-FPM工作进程.需要注意的是,PHP-FPM的进程数pm.max_children不要多于MySQL的最大连接数max_connections(默认151)

    <?php
$app = array(
    'db_host'        => '127.0.0.1',
    'db_username'    => 'root',
    'db_password'    => '',
    'db_name'        => 'mybase',
    'db_port'        => 3306,
    'db_pconnect'    => true
);
$dsn = "mysql:dbname=$app[db_name];host=$app[db_host];port=$app[db_port];charset=utf8";
$db = new PDO($dsn, $app['db_username'], $app['db_password'], array(
    PDO::ATTR_PERSISTENT => $app['db_pconnect'],
    PDO::ATTR_EMULATE_PREPARES => false,
    PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'
));

    方式二:可以使用swoole扩展来实现。

    具体参考: 基于swoole扩展实现真正的PHP数据库连接池

    方式三:PDO加上ODBC

    参考文档:参数化查询为什么能够防止SQL注入

    phppdo
    tomener
    235 声望7 粉丝

    骑着单车在路上、一抹阳光。

    « 上一篇
    Nginx连接数、请求数限制应用详解

    引用和评论

    推荐阅读
    头像
    ffmpeg视频添加多段配音音频,ffmpeg视频指定时间点插入音频

    tomener阅读 3.3k

    头像
    如何实现一个楼中楼的评论系统

    小蚊酱24阅读 10.3k

    头像
    Just for fun——迅速写完快速排序

    ufdf3阅读 2.6k

    头像
    这些年

    注销2阅读 3.9k

    头像
    php-fpm reload 会取消正在处理的请求的解决方案

    陆安2阅读 2.7k

    头像
    一个用JavaScript生成思维导图(mindmap)的github repo

    注销1阅读 6k

    头像
    从零开始 Elasticsearh Docker 单机集群

    zzMeow1阅读 2.7k

    0 条评论
    得票最新