那些遇到过的问题

准备查询与构造查询

And*_*nes 9 php mysql mysqli sql-injection prepared-statement

我看到经常重复的评论"总是使用准备好的查询来防止SQL注入攻击".

使用准备好的查询和构造的查询之间的实际区别是什么,用户输入总是被清理?

建造

function quote($value) {
  global $db; 
  return "'" . mysqli_real_escape_string($db, $value) . "'";
}

$sql = "INSERT INTO foo (a, b) VALUES (" . quote($a) . "," . quote($b) . ")";
Run Code Online (Sandbox Code Playgroud)

准备

$stmt = mysqli_prepare($db, "INSERT INTO foo (a, b) VALUES (?, ?)");
mysqli_stmt_bind_param($stmt, "ss", $a, $b);
Run Code Online (Sandbox Code Playgroud)

除了冗长和风格之外,我还有什么理由想要使用另一个?

Mac*_*ity 7

一个很好的问题.

逃离

逃避是更传统的做事方式.它会向任何不安全的数据添加反斜杠,因此如果有人试图传入直接的SQL语句,它将无害地传递而不是按字面意思传递.这里的问题是,有一些边缘情况,攻击者仍然可以绕过逃逸功能.其中绝大多数都涉及到诸如改变字符集之类的神秘技巧.要理解的是,如果你追求逃避,最重要的是在所有情况下都不确定安全性.

准备好的陈述

准备好的陈述不会受到相同的缺陷,因为您将查询分为两部分.第一部分包含查询,第二部分包含该查询的参数.因此,MySQL可以以一种不允许注入的安全方式区别对待参数(至少没有人找到方法).

如果需要使用不同的值反复运行相同的查询,那么准备好的语句可以节省大量时间.MySQL将语句存储在内存中,因此多次执行非常快.

但是,您无法参数化查询的某些部分(即表名).

买者自负

如此准备好的陈述是100%安全的,对吗?为什么不直接使用准备好的陈述?我们已经解决了SQL注入FOREVER!嗯,不太好.首先需要了解一些警告.

第一个是具体的mysqli.您将希望安装MySQL Native Driver(mysqlnd)来执行返回结果的预准备语句mysqli.具体来说,mysqli_stmt_get_result,它返回一个结果集mysqli_query.某些共享主机和较旧的服务器仍在使用较旧的MySQL客户端库.如果您想知道自己在使用哪个,请运行phpinfo()并查找该mysqlnd块.mysqlnd即使您没有使用预准备语句也是一个好主意,因为它是由PHP团队专门为了充分利用MySQL而构建的.但是,有些人无法更改驱动程序,因为这是服务器配置级别的更改.

第二种是针对那些使用PDO的人(另一种使用PHP连接到数据库的方法).现在,PDO有一种更好的处理预处理语句的方法(它有一个方便的别名系统),并且不需要mysqlnd做预备语句.这里需要注意的是,默认情况下,PDO只模拟准备好的语句,这意味着如果你没有正确配置它,你所做的只是使用一个库来为你进行转义.有关详细信息,请参阅此页面下方PDO::ATTR_EMULATE_PREPARES.

第三个是迄今为止最重要的一个,你需要在这里密切关注,因为如果你不小心,这会对你的程序产生影响.大多数提倡准备语句的人倾向于忽略这里最大的陷阱,即你在数据库上做了更多的查询(这里是关于如何通过CLI完成它们的MySQL 5.5手册).现在,for INSERTUPDATE将要一遍又一遍地运行相同查询的语句没有比较.准备好的语句可以为你的连续对应物节省很多时间.但是SELECT,因为它变得不那么清楚了.以上面的例子为例.它是通过自动编号字段简单地提取记录.但现在需要运行2个查询,而不是一个.如果这是一个流量较低的内部应用程序可能不是什么大问题,但如果该页面每天获得100,000个查看,那么您可能希望降低该页面上的开销.如果是这样,建立一个直接查询可能是一个解决方案.

所以,简而言之

mysqli_real_escape_string 有一些陷阱,但只要你了解这些陷阱并且不将它视为你和SQL注入之间的唯一安全性,就可以使单个查询"足够安全".

mysqli_prepare始终是安全的,但也会进行更多查询,因此对您的数据库和/或程序来说可能效率不高.一些问题应该总是准备好,而有些问题可能不应该.

其他解决方案也可以使用,而不是使用任何一种解

  • 类型转换(有一些限制,但没有任何与SQL不安全的)
  • 白名单(通过PHP确保哪些值可以接受并且仅允许这些值)

最后,由您来决定每个适合的位置以及使用另一个更好的位置.

jwu*_*ler 2

准备好的查询与参数分开发送到 SQL 服务器,这意味着如果执行多次(例如使用不同的参数),它们只需要编译/优化一次。对于大型数据集来说,这可能非常重要。

除此之外,只要在使用未准备的查询时在所有情况下输入实际上都正确转义,它们在功能上是相同的。

也就是说,准备好的查询不太容易出现疏忽,通常会带来更好的可维护性。

编辑:另请查看 @eggyal 的评论,了解为什么准备好的语句始终是注入安全的,而不是转义的查询参数。

  • 同意,但请注意,因为准备好的语句的参数*永远不会*被服务器解析为SQL,所以SQL*不可能*通过它们注入;而转义方法[已经](http://vigilance.fr/vulnerability/MySQL-SQL-injection-via-multi-byte-characters-5885)(并且[仍然受到](http://stackoverflow.com/ a/12118602)) 可利用的漏洞,在某些模糊的边缘情况下,可能会导致成功的注入攻击。 (4认同)
  • 投反对票的人,请解释一下自己,以便我可以改进。 (3认同)
  • 如果您发现了我可能错过的错误,那么显然很高兴知道,因为这可能会帮助我防止将来再犯同样的错误。 (2认同)

归档时间:

查看次数:

249 次

最近记录:

11 年,8 月 前
围绕mysql_real_escape_string()的SQL注入 596
更多相关链接
相关归档
什么是HMVC模式? 130
比较MySQL中的日期,忽略DateTime字段的时间部分 37
如何在YII2中使用非null条件 28
codeigniter db-> delete()总是返回true? 23
我应该将$ mysqli变量传递给每个函数吗? 8
从自制软件安装Mac OSX Lion上的PHP 5.4 - mysqli扩展缺失 7
为什么我们需要在bindParam()中指定参数类型? 6
哪种方法在MySQLi和PDO之间更安全 3
在SQLite3中避免SQL注入 2
在SQL注入方面这是安全的吗? 1
难疑归档
如何在提交前撤消'git add'? 8567
URI,URL和URN有什么区别? 4217
浮点数学是否破碎? 2798
什么是TypeScript,为什么我会用它代替JavaScript? 1637
在JavaScript中生成两个数字之间的随机数 1635
在Vim中复制整行 1555
每个'循环的Java'如何工作? 1446
如何克隆仅Git存储库的子目录? 1298
有条件地申请课程的最佳方式是什么? 1172
如何测量函数执行所花费的时间 1057