关于PDO防sql注入问题

在php编写程序中,我们可以使用类似如下的PDO预处理绑定语句来有效的防止sql注入问题:

$stmt  =  $dbh -> prepare ( "INSERT INTO REGISTRY (name, value) VALUES (:name, :value)" );
$stmt -> bindParam ( ':name' ,  $name );
$stmt -> bindParam ( ':value' ,  $value );
$name  =  'one' ;
$value  =  1 ;
$stmt -> execute ();

或者使用?号占位符来达到相同的效果:

$stmt  =  $dbh -> prepare ( "INSERT INTO REGISTRY (name, value) VALUES (?, ?)" );

笔者有一点表示很不理解,就是在PDO底层是如何处理该sql语句的,可以这么有效的防止注入问题。

请大家指点一下...thanks

阅读 14.4k
评论
    6 个回答
      • 3.2k

      大部分常见数据库都支持prepare语句,以postgresql为例

      PREPARE fooplan (int, text, bool, numeric) AS
          INSERT INTO foo VALUES($1, $2, $3, $4);
      
      EXECUTE fooplan(1, 'Hunter Valley', 't', 200.00);
      

      第一句把insert prepare成为名为fooplan的statement,第二句用具体的数据去execute fooplan statement

      注意,fooplan是当前数据库连接中有效的,另一个数据库连接就不能直接execute fooplan

      在数据库支持prepare特性的情况下,PDO就使用数据库的prepare语句来实现

      $fooplan = $pdo->prepare('INSERT INTO foo VALUES(?, ?, ?, ?)');
      $fooplan->execute(array(1, 'Hunter Valley', 't', 200.00));
      

      和sql对照一看是不是就明白了

      因为prepare ... execute这个特性实在太有用,所以即使数据库不支持prepare,pdo也会采用模拟的方式来实现,简单来说就是pdo自己对数据做quote,然后把结果拼接成sql再执行

      还有一种特殊情况就是连接池,比如我用pgbouncer做postgresql连接池,连接池是transaction或statement模式。在这个模式下,每条语句都可能使用的不同的连接

      所以pdo就没法使用到数据库的prepare特性,因为prepare和execute两条语句可能使用不同的连接,在这种情况下就必须强制使用pdo的模拟prepare方式才行

      $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, true);
      
        • 11.5k

          据说是因为两次传输,前一次传一个sql模板,第二次传查询参数,会把第二步传入的参数只做查询参数处理,不做语义解释,这样注入的条件就算执行了,也不会得到查询结果。

          在此重要的是,参数的值是和编译过的语句结合,而非一个SQL字符串。SQL注入就是当创建被发送到数据库的SQL语句时,通过欺骗的手段让脚本去引入恶意的字符串。因此当你使用单独的参数发送真实正确的SQL时,你就限制了被某些不是你真实意图的事情而搞挂掉的风险。使用prepared statements 传递的任何参数都会被当做字符串对待(不过数据库引擎可能会做一些优化,这些参数最终也可能变成numbers)(译者注:意思就是把参数当做一个字符串而不会去做额外的行为)。比如在上面的例子中,如果 $name 变量的值是 'Sarah'; DELETE FROM employees ,产生的结果是会去搜索"'Sarah'; DELETE FROM employees"这一整个字符串,最终的结果你也就不会面对的是一张空表了。

          http://blog.csdn.net/sky_zhe/article/details/9702489

            @runner_sam 你的推荐博客确实值得参考,而且分析的也很详尽,不失为一篇好的博客文章,谢谢你了。
            这里笔者再推荐一篇文章,说明了PDO防注入原理分析以及使用PDO的注意事项,特此推荐给大家,仅供参考,共同进步...

              pdo 可以防止注入的.总的来说.就是不会因为参数.语句的意思而发生变化.
              比如:
              你要搜索 name=1的用户.
              select * from name=‘1'
              如果有注入.传入了参数1 or 1=1’--.
              sql 就变成 select * from name='1 or 1=1’--';
              就是查询 name=1或者1=1.变化的根本是因为逗号.
              这个语义就和最初你要查询的语义发生了变化.

              而用 pdo 的预处理查询方式.
              就是 mysql 就先执行 select * from name=?
              后面再传参数.不管这个参数传的是什么.都是一个参数.不会因为参数中有引号.发生语义的变化.

              该答案已被忽略,原因:

                撰写回答

                登录后参与交流、获取后续更新提醒

                相似问题
                推荐文章