bind_param完成了什么？

Question

bind_param完成了什么？

我正在学习避免SQL注入,我有点困惑.

使用bind_param时,我不明白其目的.在手册页上,我找到了这个例子:

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);

$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;

Run Code Online (Sandbox Code Playgroud)

现在,假设这4个变量是用户输入的,我不明白这是如何阻止SQL注入的.根据我的理解,他们仍然可以在那里输入任何他们想要的东西.

我也找不到'sssd'那里的解释.它有什么作用？这是什么使它安全？

最后一个问题:我读到了另一个mysqli_real_escape_string被弃用的问题,但它没有在手册中说明.它是如何弃用的？由于某种原因,它不能再逃避特殊角色吗？

注意:这个问题解释了bind_param的作用,但我仍然不明白为什么它更安全或更受保护. Bind_param解释

Answer 1

小智 15

现在,假设这4个变量是用户输入的,我不明白这是如何阻止SQL注入的.根据我的理解,他们仍然可以在那里输入任何他们想要的东西.

主要原则是使用预设语句设计用于向数据库服务器发送安全查询,这可以通过转义不是真实查询的一部分的用户输入来完成,并且还检查查询而不用任何(where子句)来检查使用任何参数之前的查询的有效性.

从这个问题:PDO向MySQL发送原始查询,而Mysqli发送准备好的查询,两者都产生相同的结果

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username =?")) {
$stmt->bind_param("i", $user);
$user = "''1''";

Run Code Online (Sandbox Code Playgroud)

服务器日志:

  130802 23:39:39   175 Connect   ****@localhost on testdb
    175 Prepare   SELECT * FROM users WHERE username =?
    175 Execute   SELECT * FROM users WHERE username =0
    175 Quit

Run Code Online (Sandbox Code Playgroud)

通过使用预准备语句,db server将在没有任何参数的情况下检查查询,在此阶段,可以在绑定任何参数之前检测到错误,然后,如果查询有效,则还将参数发送到服务器以完成查询.

从PHP手册http://php.net/manual/en/mysqli.quickstart.prepared-statements.php:

转义和SQL注入

绑定变量将由服务器自动转义.服务器在执行之前将其转义值在适当的位置插入到语句模板中.必须向服务器提供绑定变量类型的提示,以创建适当的转换.有关更多信息,请参阅mysqli_stmt_bind_param()函数.

..

我也找不到那里'sssd'的解释.它有什么作用？这是什么使它安全？

答案在这里:http://php.net/manual/en/mysqli-stmt.bind-param.php

i
corresponding variable has type integer

d
corresponding variable has type double

s
corresponding variable has type string

b
corresponding variable is a blob and will be sent in packets

Run Code Online (Sandbox Code Playgroud)

最后一个问题:我读到另一个问题,即mysqli_real_escape_string已弃用,但在手册中没有说明.它是如何弃用的？由于某种原因,它不能再逃避特殊角色吗？

你能提供参考吗？我觉得你误解了(mysql_real_escape_string())

@YourCommonSense:发表正确答案,并在我的回答中也提到了错误. (4认同)

Answer 2

小智 11

通过使用预准备语句,您将SQL查询与用户输入的数据分开.您可以在SQL查询中放置占位符('？'char),而不是输入数据.然后通过"mysqli :: prepare"方法将查询发送到DBMS服务器(例如:MySQL).因此,服务器检查一切正常,如果是,则等待输入数据.到现在为止它已经知道了你的查询.只需要等待输入数据绑定到查询.

此时,"bind_param"开始起作用,将占位符绑定到用户输入的数据.请注意,bind_param仅将数据绑定到占位符,而不会使查询保持不变.因此,无法更改原始SQL查询,因为它已经通过prepare方法发送到服务器,并且因为您分别发送SQL查询和输入数据,因此用户输入的数据不会干扰查询.

无论如何...

在SQL中使用预准备语句的实际目的是降低处理查询的成本,而不是将数据与查询分开.这就是它现在的使用方式,而不是首先如何使用它.

'sssd'代表"string","string","string"和"double".实际上:$ code是一个字符串,$ language是一个字符串,$ official是一个字符串,$ percent是double类型.

不推荐使用mysqli_real_escape_string,但不推荐使用mysql_real_escape_string(第一个是mysqlI,我代表"改进").

归档时间：	12 年，3 月前
查看次数：	18803 次
最近记录：	11 年，11 月前