防止SQL注入是我們程式開發人員必須要做的事情了,今天我們就來看一篇關於PHP防止SQL注入的例子,具體的實現防過濾語句可以參考以下方法。
使用prepared以及引數繫結查詢可根本性防止sql注入的發生:SQL語句與引數分批傳輸到sql伺服器的方式讓利用字串拼接的`SQL注入沒有了施展空間。
基本上你有兩種方式完成上述方法:
使用PDO:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {
// do something with $row
}
2.使用MySQLi
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
正確的配置資料庫連線:
注意當你用PDO方式訪問MySQLs時,使用真正的prepared 語句方式並不是預設設定。所以你必須禁止模擬prepared模式:
$dbConnection = new PDO('mysql:dbname=dbtest;host=;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
以上語句中對錯誤模式的設定並不是必須的,但我強烈推薦加上它。這樣指令碼就不會因為資料庫的”Fatal Error”而停止,而是丟擲一個PDOExceptions,從而讓你能夠抓取到這個異常。