数据库预编译为何能防止SQL注入?

因为prepare是把SQL模板发给MySQL编译,然后execute是把用户输入的参数交给MySQL套模板执行.PHP模拟预处理的意思就是数据库并不会有编译模板这一步,而是PHP自动转义用户输入的参数,相当于手动调用mysqli_real_escape_string($_GET['id']) 或 PDO::quote($_GET['id']),比如PHP的一个Query Builder库medoo.php用的就是PDO::quote转义用户输入的参数后query执行SQL.WireShark里用tcp.port==3306过滤分析PHP和MySQL通信可见:

但并非所有数据库都支持预处理,像SQLite就不支持.所以PHP提供了模拟预处理(默认开启),其本质是转义用户输入,相关函数是:PDO::quote和mysqli_real_escape_string.在模拟预处理下,绑定参数(bindParam/bind_param)本质也是转义,而非SQL模板和参数分离.安全的转义依赖统一的编码:php.net/mysqli_real_escape_stringphp.net/manual/zh/mysqlinfo.concepts.charset.phpMySQLi中需要先用 $mysqli->set_charset('utf8') 定义字符集后,才能确保 $mysqli->real_escape_string() 能够安全正确转义用户输入的字符串.PDO_MySQL中需要在PDO()中用 charset=utf8 定义字符集后,才能确保 PDO::quote() 能够安全正确转义用户输入的字符串.PHP模拟预处理时,PDO的bindParam/bindValue/execute转义时底层用的应该也是PDO::quote().

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190618A0QOO900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券