PHP 中防止 SQL 注入

如果未正确处理用户输入并将其插入 SQL 查询中，则会产生 SQL 注入漏洞。为了理解这种风险，请考虑以下示例：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

在此场景中，如果用户恶意输入类似 value'); DROP TABLE table;-- 的值，则查询将变为：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

这为数据库上的恶意攻击打开了大门。

缓解技术：

无论使用哪个数据库，防止 SQL 注入的推荐安全实践都是将数据与 SQL 分离。这意味着确保数据被视为数据，而绝不会被 SQL 解析器解释为命令。实现此目标最有效的方法是使用预处理语句和参数化查询。

预处理语句和参数化查询：

预处理语句涉及将 SQL 查询和参数分别发送到数据库服务器，允许数据库处理它们的组合。这通过确保数据在传输前不会被 PHP 解析来防止恶意的 SQL 注入尝试。

实现选项：

实现预处理语句主要有两种方法：

1. PDO（PHP 数据对象）：

   这是一种通用的方法，适用于所有受支持的数据库驱动程序。以下是其用法的示例：

   $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
   $stmt->execute([ 'name' => $name ]);
   
   foreach ($stmt as $row) {
       // 处理行
   }

2. MySQLi（MySQL 改进扩展）：

   对于 MySQL 数据库，可以使用 MySQLi。从 PHP 8.2 开始，可以使用 execute_query()

   方法在一个步骤中准备、绑定参数和执行 SQL 语句：

   $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

   对于 PHP 8.1 及以下版本：

   $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
   $stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型
   $stmt->execute();
   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

如果使用除 MySQL 之外的数据库，将存在特定于驱动程序的替代方法，例如 PostgreSQL 的 pg_prepare() 和 pg_execute()

正确的连接设置：

PDO 连接：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

MySQLi 连接：

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集

结论：