php 防止mysql注入

基础概念

MySQL注入是一种常见的网络攻击方式，攻击者通过在用户输入的数据中插入恶意的SQL代码，从而对数据库进行非法操作，如未经授权的查看、修改或删除数据。PHP是一种常用的服务器端脚本语言，广泛用于Web开发，因此防止MySQL注入对于PHP应用的安全至关重要。

类型

基于过滤的方法：通过过滤或转义用户输入的特殊字符来防止注入。
基于预处理语句的方法：使用PDO（PHP Data Objects）或MySQLi扩展的预处理语句来防止注入。

应用场景

任何使用PHP连接并操作MySQL数据库的应用都需要考虑防止SQL注入，特别是在用户输入直接用于SQL查询的场景中。

遇到的问题及解决方法

问题：为什么会发生MySQL注入？

原因：当应用程序直接将用户输入拼接到SQL查询字符串中时，如果用户输入包含恶意SQL代码，就会导致注入攻击。

解决方法

方法一：使用预处理语句

预处理语句可以有效防止SQL注入，因为它们将查询的结构与数据分开处理。

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 预处理语句
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param("s", $username);

$username = $_POST['username'];

$stmt->execute();

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {
    echo "id: " . $row["id"]. " - Name: " . $row["username"]. "<br>";
}

$stmt->close();
$conn->close();
?>

方法二：使用PDO

PDO提供了类似的功能，通过预处理语句来防止SQL注入。

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 设置 PDO 错误模式为异常
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 预处理语句
    $stmt = $conn->prepare("SELECT * FROM users WHERE username = :username");
    $stmt->bindParam(':username', $username);

    $username = $_POST['username'];

    $stmt->execute();

    $result = $stmt->fetchAll();

    foreach ($result as $row) {
        echo "id: " . $row["id"]. " - Name: " . $row["username"]. "<br>";
    }
} catch(PDOException $e) {
    echo "连接失败: " . $e->getMessage();
}

$conn = null;
?>