如何防止 PHP 中的 SQL 注入?

2022-08-30 05:43:52

如果用户输入未经修改就插入到 SQL 查询中,则应用程序容易受到 SQL 注入的攻击,如以下示例所示:

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

这是因为用户可以输入类似 的内容,查询将变为:value'); DROP TABLE table;--

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

可以做些什么来防止这种情况发生?


答案 1

无论使用哪个数据库,避免SQL注入攻击的正确方法是将数据与SQL分开,以便数据保留数据,并且永远不会被SQL解析器解释为命令。可以使用格式正确的数据部分创建 SQL 语句,但如果不完全了解详细信息,则应始终使用预准备语句和参数化查询。这些是 SQL 语句,它们与任何参数分开发送到数据库服务器并由数据库服务器进行分析。这样,攻击者就不可能注入恶意 SQL。

您基本上有两种选择来实现此目的:

  1. 使用 PDO(对于任何受支持的数据库驱动程序):

    $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
    $stmt->execute([ 'name' => $name ]);
    
    foreach ($stmt as $row) {
        // Do something with $row
    }
    
  2. 使用MySQLi(用于MySQL):

    $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
    $stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
    $stmt->execute();
    
    $result = $stmt->get_result();
    while ($row = $result->fetch_assoc()) {
        // Do something with $row
    }
    

如果要连接到MySQL以外的数据库,则可以引用特定于驱动程序的第二个选项(例如,对于PostgreSQL)。PDO 是通用选项。pg_prepare()pg_execute()


正确设置连接

断续器

请注意,当使用PDO访问MySQL数据库时,默认情况下不使用真正的预准备语句。要解决此问题,您必须禁用预准备语句的仿真。使用 PDO 创建连接的示例如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的示例中,错误模式不是绝对必要的,但建议添加它。这样,PDO将通过抛出.PDOException

但是,必需的是第一行,它告诉 PDO 禁用模拟预准备语句并使用真正的预准备语句。这确保了在将语句和值发送到MySQL服务器之前,PHP不会解析该语句和值(使可能的攻击者没有机会注入恶意SQL)。setAttribute()

尽管您可以在构造函数的选项中设置,但请务必注意,“较旧”版本的 PHP(5.3.6 之前)以静默方式忽略了 DSN 中的字符集参数。charset

Mysqli

对于mysqli,我们必须遵循相同的例程:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // charset

解释

传递给的 SQL 语句由数据库服务器进行分析和编译。通过指定参数(如上例所示的 a 或命名参数),可以告诉数据库引擎要筛选的位置。然后,当您调用 时,预准备语句将与您指定的参数值组合在一起。prepare?:nameexecute

这里重要的是参数值与编译的语句组合,而不是SQL字符串。SQL 注入的工作原理是在创建要发送到数据库的 SQL 时诱使脚本包含恶意字符串。因此,通过将实际的SQL与参数分开发送,您可以限制最终获得您不想要的东西的风险。

使用预准备语句时发送的任何参数都将被视为字符串(尽管数据库引擎可能会进行一些优化,因此参数也可能最终为数字,当然)。在上面的例子中,如果变量包含结果,则结果只是搜索字符串,并且您不会最终得到一个空表$name'Sarah'; DELETE FROM employees"'Sarah'; DELETE FROM employees"

使用预准备语句的另一个好处是,如果在同一会话中多次执行同一语句,则只会对其进行一次解析和编译,从而获得一些速度提升。

哦,既然你问了如何为插入操作,这里有一个例子(使用PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute([ 'column' => $unsafeValue ]);

预准备语句是否可用于动态查询?

虽然您仍然可以对查询参数使用预准备语句,但动态查询本身的结构无法参数化,并且某些查询功能无法参数化。

对于这些特定方案,最好的办法是使用限制可能值的白名单筛选器。

// Value whitelist
// $dir can only be 'DESC', otherwise it will be 'ASC'
if (empty($dir) || $dir !== 'DESC') {
   $dir = 'ASC';
}

答案 2

要使用参数化查询,您需要使用Mysqli或PDO。要用mysqli重写你的示例,我们需要类似下面的东西。

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("server", "username", "password", "database_name");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
// "s" means the database expects a string
$stmt->bind_param("s", $variable);
$stmt->execute();

您需要阅读的关键函数是mysqli::p repare

此外,正如其他人所建议的那样,您可能会发现使用PDO之类的东西来加强抽象层很有用/更容易。

请注意,您询问的案例相当简单,更复杂的案例可能需要更复杂的方法。特别:

  • 如果要根据用户输入更改 SQL 的结构,则参数化查询将无济于事,并且 所需的转义不在 .在这种情况下,您最好通过白名单传递用户的输入,以确保只允许“安全”值通过。mysql_real_escape_string

推荐