保护 PHP 应用程序免受 SQL 注入攻击

DDD

发布时间：2024-09-14 08:03:11

513人浏览过

来源于dev.to

转载

保护 php 应用程序免受 sql 注入攻击

阻止 sql 注入攻击对于维护 php 应用程序的安全至关重要。 sql 注入是一个漏洞，允许攻击者在您的数据库上执行任意 sql 代码，可能导致数据泄露或丢失。这是防止 php 中 sql 注入攻击的分步指南，配有实践示例和说明。

1.了解 sql 注入

当用户输入未正确清理并合并到 sql 查询中时，就会发生 sql 注入。例如，如果用户输入恶意 sql 代码，它可能会操纵您的查询来执行意外操作。

sql 注入示例：

// vulnerable code
$user_id = $_get['user_id'];
$query = "select * from users where id = $user_id";
$result = mysqli_query($conn, $query);

如果 user_id 设置为 1 or 1=1，则查询变为：

select * from users where id = 1 or 1=1

此查询将返回 users 表中的所有行，因为 1=1 始终为 true。

2.使用准备好的语句

准备好的语句是防御 sql 注入的关键。它们将 sql 逻辑与数据分开，并确保用户输入被视为数据而不是可执行代码。

立即学习“PHP免费学习笔记（深入）”；

Magic AI Avatars

神奇的AI头像，获得200多个由AI制作的自定义头像。

下载

将 mysqli 与准备好的语句结合使用：

连接到数据库：

   $conn = new mysqli("localhost", "username", "password", "database");

   if ($conn->connect_error) {
       die("connection failed: " . $conn->connect_error);
   }

准备sql语句：

   $stmt = $conn->prepare("select * from users where id = ?");

绑定参数：

   $stmt->bind_param("i", $user_id); // "i" indicates the type is integer

执行语句：

   $user_id = $_get['user_id'];
   $stmt->execute();

获取结果：

   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // process results
   }

关闭语句和连接：

   $stmt->close();
   $conn->close();

完整示例：

<?php
// database connection
$conn = new mysqli("localhost", "username", "password", "database");

if ($conn->connect_error) {
    die("connection failed: " . $conn->connect_error);
}

// prepare statement
$stmt = $conn->prepare("select * from users where id = ?");
if ($stmt === false) {
    die("prepare failed: " . $conn->error);
}

// bind parameters
$user_id = $_get['user_id'];
$stmt->bind_param("i", $user_id);

// execute statement
$stmt->execute();

// get results
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    echo "user id: " . $row['id'] . "<br>";
    echo "user name: " . $row['name'] . "<br>";
}

// close statement and connection
$stmt->close();
$conn->close();
?>

3.将 pdo 与准备好的语句结合使用

php 数据对象 (pdo) 提供类似的针对 sql 注入的保护并支持多个数据库系统。

将 pdo 与准备好的语句结合使用：

连接到数据库：

   try {
       $pdo = new pdo("mysql:host=localhost;dbname=database", "username", "password");
       $pdo->setattribute(pdo::attr_errmode, pdo::errmode_exception);
   } catch (pdoexception $e) {
       die("connection failed: " . $e->getmessage());
   }

准备sql语句：

   $stmt = $pdo->prepare("select * from users where id = :id");

绑定参数并执行：

   $stmt->bindparam(':id', $user_id, pdo::param_int);
   $user_id = $_get['user_id'];
   $stmt->execute();

获取结果：

   $results = $stmt->fetchall(pdo::fetch_assoc);
   foreach ($results as $row) {
       echo "user id: " . $row['id'] . "<br>";
       echo "user name: " . $row['name'] . "<br>";
   }

完整示例：

<?php
try {
    // Database connection
    $pdo = new PDO("mysql:host=localhost;dbname=database", "username", "password");
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Prepare statement
    $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");

    // Bind parameters
    $user_id = $_GET['user_id'];
    $stmt->bindParam(':id', $user_id, PDO::PARAM_INT);

    // Execute statement
    $stmt->execute();

    // Fetch results
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
    foreach ($results as $row) {
        echo "User ID: " . $row['id'] . "<br>";
        echo "User Name: " . $row['name'] . "<br>";
    }

} catch (PDOException $e) {
    die("Error: " . $e->getMessage());
}
?>

4.其他安全实践

清理输入：始终清理和验证用户输入，以确保它们采用预期的格式。
使用 orm：像 eloquent (laravel) 这样的对象关系映射器在内部处理 sql 注入保护。
限制数据库权限：对数据库用户帐户使用最小权限原则。

5.结论

阻止 sql 注入攻击对于保护 php 应用程序至关重要。通过将准备好的语句与 mysqli 或 pdo 一起使用，您可以确保用户输入得到安全处理，而不是作为 sql 查询的一部分执行。遵循这些最佳实践将有助于保护您的应用程序免受最常见的 web 漏洞之一的影响。

PHP 数据库 explain 结果解读技巧

宝塔面板如何安装WordPress_一键部署WordPress网站方法【教程】

Swoole连接池故障怎么修_Swoole池化问题排查步骤【介绍】

宝塔面板适合新手建站吗_面板功能与优势说明【解答】

php如何查看数据库版本_获取mysql版本的sql语句【说明】

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

laravel组件介绍

laravel 提供了丰富的组件，包括身份验证、模板引擎、缓存、命令行工具、数据库交互、对象关系映射器、事件处理、文件操作、电子邮件发送、队列管理和数据验证。想了解更多laravel的相关内容，可以阅读本专题下面的文章。

340

2024.04.09

laravel中间件介绍

laravel 中间件分为五种类型：全局、路由、组、终止和自定。想了解更多laravel中间件的相关内容，可以阅读本专题下面的文章。

293

2024.04.09

laravel使用的设计模式有哪些

laravel使用的设计模式有：1、单例模式；2、工厂方法模式；3、建造者模式；4、适配器模式；5、装饰器模式；6、策略模式；7、观察者模式。想了解更多laravel的相关内容，可以阅读本专题下面的文章。

773

2024.04.09

thinkphp和laravel哪个简单

对于初学者来说，laravel 的入门门槛较低，更易上手，原因包括：1. 更简单的安装和配置；2. 丰富的文档和社区支持；3. 简洁易懂的语法和 api；4. 平缓的学习曲线。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

385

2024.04.10

laravel入门教程

本专题整合了laravel入门教程，想了解更多详细内容，请阅读专题下面的文章。

141

2025.08.05

laravel实战教程

本专题整合了laravel实战教程，阅读专题下面的文章了解更多详细内容。

2025.08.05

laravel面试题

本专题整合了laravel面试题相关内容，阅读专题下面的文章了解更多详细内容。

2025.08.05

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

496

2026.03.04

C# ASP.NET Core微服务架构与API网关实践

本专题围绕 C# 在现代后端架构中的微服务实践展开，系统讲解基于 ASP.NET Core 构建可扩展服务体系的核心方法。内容涵盖服务拆分策略、RESTful API 设计、服务间通信、API 网关统一入口管理以及服务治理机制。通过真实项目案例，帮助开发者掌握构建高可用微服务系统的关键技术，提高系统的可扩展性与维护效率。

2026.03.11

热门下载

网站特效

网站源码

网站素材

前端模板