使用PDO、MySQLi面向对象/过程式方式的预处理语句绑定参数可防止SQL注入,动态条件需校验字段白名单,批量插入应复用预处理语句并结合事务。
如果在PHP中执行数据库增删改查操作时直接拼接用户输入的数据,可能导致SQL注入攻击。以下是防止SQL注入的参数绑定方法:
一、使用PDO预处理语句绑定参数
PDO支持命名参数和问号占位符两种绑定方式,通过预处理机制将SQL结构与数据分离,确保用户输入被当作纯数据处理,不参与SQL语法解析。
1、创建PDO连接并设置错误模式为异常模式:$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION)。
2、编写含占位符的SQL语句,例如插入语句:INSERT INTO users (name, email) VALUES (:name, :email)。
立即学习“PHP免费学习笔记(深入)”;
3、调用prepare()方法获取PDOStatement对象。
4、使用bindValue()或bindParam()绑定参数,例如:$stmt->bindValue(':name', $userName, PDO::PARAM_STR)。
5、执行语句:$stmt->execute()。
二、使用MySQLi面向对象方式绑定参数
MySQLi的prepare()方法生成预处理语句,配合bind_param()将变量按类型绑定到占位符,避免字符串拼接带来的注入风险。
1、初始化MySQLi连接对象:$mysqli = new mysqli($host, $user, $pass, $db)。
2、编写含问号占位符的SQL语句,例如更新语句:UPDATE users SET email = ? WHERE id = ?。
3、调用prepare()返回mysqli_stmt对象。
4、按顺序声明参数类型字符串(如'si'表示字符串+整型),再传入对应变量引用,调用bind_param()。
5、执行语句:$stmt->execute()。
三、使用MySQLi过程式风格绑定参数
过程式风格使用全局函数实现预处理与参数绑定,适用于习惯传统MySQL函数迁移的场景,原理与面向对象方式一致。
1、建立连接:$link = mysqli_connect($host, $user, $pass, $db)。
2、准备语句:$stmt = mysqli_prepare($link, "SELECT * FROM users WHERE status = ?")。
3、定义变量并调用mysqli_stmt_bind_param(),第一个参数为类型标识,后续为变量引用,例如:mysqli_stmt_bind_param($stmt, 's', $status)。
4、执行预处理语句:mysqli_stmt_execute($stmt)。
5、绑定结果变量以获取查询数据:mysqli_stmt_bind_result($stmt, $id, $name, $email)。
四、动态构建WHERE条件时的安全参数绑定
当需要根据运行时条件动态拼接SQL的WHERE子句时,不能简单拼接字段名或操作符,而应预先定义合法键值映射,并对值统一绑定。
1、定义允许的字段白名单数组:$allowedFields = ['name', 'email', 'status']。
2、校验输入字段是否在白名单中,例如:in_array($field, $allowedFields)。
3、构造固定结构SQL,如:SELECT * FROM users WHERE $safeField = ?($safeField已校验)。
4、使用预处理绑定实际值,禁止将字段名、表名、操作符作为绑定参数传入。
五、批量插入时的参数绑定处理
批量插入需复用同一预处理语句多次执行,避免重复编译SQL,提升性能的同时保持参数隔离。
1、编写带多个占位符的插入语句:INSERT INTO logs (level, message, time) VALUES (?, ?, ?)。
2、调用prepare()一次,获得可复用的statement对象。
3、遍历数据数组,在每次循环中调用bind_param()绑定当前行的值。
4、每次调用execute()提交一行数据,或启用事务包裹全部批量操作以保证原子性。
5、显式关闭statement:$stmt->close()。
