mysqli 防止注入

基础概念

mysqli 是 PHP 中用于与 MySQL 数据库进行交互的扩展。它提供了一种更加高效、灵活的方式来执行 SQL 查询和操作数据库。然而，如果不正确地使用 mysqli，可能会导致 SQL 注入攻击，这是一种严重的安全漏洞，攻击者可以通过它来执行恶意 SQL 代码，从而获取、修改或删除数据库中的数据。

防止注入的优势

1. 安全性：防止 SQL 注入攻击，保护数据库和应用程序的安全。
2. 可靠性：确保数据的完整性和准确性。
3. 合规性：符合许多安全标准和最佳实践。

类型

1. 预处理语句（Prepared Statements）：使用占位符来代替实际的参数值，从而避免 SQL 注入。
2. 参数绑定（Parameter Binding）：将参数值与预处理语句绑定在一起，确保参数值被正确地转义和处理。

应用场景

任何涉及用户输入并用于构建 SQL 查询的场景都应该使用防止注入的措施。例如：

• 用户登录
• 数据库查询
• 数据更新

示例代码

以下是一个使用 mysqli 预处理语句防止 SQL 注入的示例：

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 预处理语句
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);

// 设置参数并执行
$username = "admin";
$password = "password123";
$stmt->execute();

// 获取结果并绑定变量
$result = $stmt->get_result();

// 检查结果
if ($result->num_rows > 0) {
    // 输出数据
    while($row = $result->fetch_assoc()) {
        echo "id: " . $row["id"]. " - Name: " . $row["username"]. "<br>";
    }
} else {
    echo "0 结果";
}

// 关闭语句和连接
$stmt->close();
$conn->close();
?>

遇到的问题及解决方法

问题：为什么使用预处理语句仍然发生了 SQL 注入？

原因：

1. 未正确绑定参数：虽然使用了预处理语句，但未将用户输入绑定到占位符上。
2. 错误的占位符类型：使用了错误的占位符类型（例如，在 bind_param 中使用了错误的类型）。

解决方法：

1. 确保正确绑定参数：
2. 确保正确绑定参数：
3. 这里的 "ss" 表示两个字符串类型的参数。
4. 检查占位符类型：
   • s 表示字符串
   • i 表示整数
   • d 表示双精度浮点数
   • b 表示二进制数据

问题：如何确保所有用户输入都经过验证和清理？

解决方法：

1. 使用过滤函数：例如 filter_var 函数来验证和清理用户输入。
2. 使用过滤函数：例如 filter_var 函数来验证和清理用户输入。
3. 使用正则表达式：对用户输入进行更严格的验证。
4. 使用正则表达式：对用户输入进行更严格的验证。

参考链接

• PHP mysqli 手册
• PHP 官方文档 - 预处理语句
• PHP 官方文档 - 绑定参数

通过以上措施，可以有效地防止 SQL 注入攻击，确保应用程序和数据库的安全。