mysql怎么防注入

mysql 可以使用更安全的pdo_mysql接口来处理

所有的查询参数话绑定

$sql = 'select * from table where id=:id'

$pdo->prepare($sql)->bindValue(':id', $id, PDO::PARAM_INT)->excute()

$pdo->fetch()来获取数据 这样可以很有效的避免被注入

我把问题和赞同最多的答题翻译了下来。提问：如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击，举个例子：$unsafe_variable = $_POST['user_input']mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')")用户可以输入诸如 ： value')DROP TABLE table-- ,SQL语句就变成这样了:INSERT INTO table (column) VALUES('value')DROP TABLE table--')(译者注：这样做的结果就是把table表给删掉了) 我们可以做什么去阻止这种情况呢？回答：使用prepared statements（预处理语句）和参数化的查询。这些SQL语句被发送到数据库服务器，它的参数全都会被单独解析。使用这种方式，攻击者想注入恶意的SQL是不可能的。要实现这个主要有两种方式：1. 使用 PDO：$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name')$stmt->execute(array(':name' =>$name))foreach ($stmt as $row) { // do something with $row }2. 使用 Mysqli：$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?')$stmt->bind_param('s', $name)$stmt->execute()$result = $stmt->get_result()while ($row = $result->fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去访问MySQL数据库时，真正的prepared statements默认情况下是不使用的。为了解决这个问题，你需要禁用模拟的prepared statements。下面是使用PDO创建一个连接的例子：$dbConnection = new PDO('mysql:dbname=dbtesthost=127.0.0.1charset=utf8', 'user', 'pass')$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false)$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION)上面的例子中，错误报告模式并不是强制和必须的，但建议你还是添加它。通过这种方式，脚本在出问题的时候不会被一个致命错误终止，而是抛出PDO Exceptions，这就给了开发者机会去捕获这个错误。然而第一行的 setAttribute() 是强制性的，它使得PDO禁用模拟的prepared statements并使用真正的prepared statements。这可以确保这些语句和值在被发送到MySQL服务器之前不会被PHP解析（这使得攻击者没有注入恶意SQL的机会）。尽管你可以使用可选的构造函数参数去设置 charset ，但重点需要注意的是小于5.3.6的PHP版本，DSN(Data Source Name)是默认忽略 charset 参数的。说明当你传一个SQL语句做预处理时会发生什么？它被数据库服务器解析和编译了。通过指定参数（通过之前例子中的 ? 或者像 :name 这样的命名式参数）你告诉数据库引擎你是想过滤它。接着当你调用 execute() 函数时，prepared statements会和你刚才指定的参数的值结合。在此重要的是，参数的值是和编译过的语句结合，而非一个SQL字符串。SQL注入就是当创建被发送到数据库的SQL语句时，通过欺骗的手段让脚本去引入恶意的字符串。因此当你使用单独的参数发送真实正确的SQL时，你就限制了被某些不是你真实意图的事情而搞挂掉的风险。使用prepared statements 传递的任何参数都会被当做字符串对待（不过数据库引擎可能会做一些优化，这些参数最终也可能变成numbers）（译者注：意思就是把参数当做一个字符串而不会去做额外的行为）。比如在上面的例子中，如果 $name 变量的值是 'Sarah'DELETE * FROM employees ，产生的结果是会去搜索"'Sarah'DELETE * FROM employees"这一整个字符串，最终的结果你也就不会面对的是一张空表了。使用prepared statements的另一个好处是，如果你在同一session中再次执行相同的语句，也就不会被再次解析和编译，这样你就获得一些速度上的提升。

使用PDO或者MySQLi，有很多封装好的方便的Class。 例如使用PHP-PDO-MySQL-Class · GitHub（这个Class使用上比较类似Python的MySQLdb）的话，这样就是安全的： 直接拼接字符串则是危险的：

---