SQL 预处理语句

SQL 预处理语句 - 防止 SQL 注入

SQL 预处理语句可用于保护网站免受 SQL 注入攻击。

预处理语句将查询结构(SQL)与实际数据(用户输入)分离开来。

预处理语句的基本工作原理如下:

1. 准备:

包含占位符的 SQL 查询模板被发送到服务器。数据值不会被发送。例如:INSERT INTO MyGuests VALUES(?, ?, ?)。然后,服务器解析、编译和优化 SQL 查询模板,但不执行它。

2. 执行:

稍后,应用程序将值绑定到参数,数据库执行查询。应用程序可以根据需要使用不同的值多次执行该查询。

预处理语句有四个主要优点:

  • 减少解析时间 - 因为查询的准备只进行一次(尽管语句执行多次)
  • 最小化带宽 - 绑定参数最小化了到服务器的带宽,因为每次只需发送参数,而不是整个查询
  • 安全性 - 预处理语句对防止 SQL 注入非常有用,因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是来自外部输入,则不会发生 SQL 注入
  • 更清晰的代码 - 通过将数据与 SQL 命令分离

MySQL 中的预处理语句

以下示例取自 PHP MySQL 预处理语句,并在 MySQL 中使用预处理语句:

示例 - 带预处理语句的 MySQL

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
  die("连接失败:" . $conn->connect_error);
}

// SQL 查询模板
$sql = "INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)";

// 准备 SQL 查询模板
if($stmt = $conn->prepare($sql)) {
  // 绑定参数
  $stmt->bind_param("sss", $firstname, $lastname, $email);

  // 设置参数并执行
  $firstname = "John";
  $lastname = "Doe";
  $email = "john@example.com";
  $stmt->execute();

  $firstname = "Mary";
  $lastname = "Moe";
  $email = "mary@example.com";
  $stmt->execute();

  $firstname = "Julie";
  $lastname = "Dooley";
  $email = "julie@example.com";
  $stmt->execute();
  echo "新记录创建成功";
} else {
  echo "错误:" . $sql . "<br>" . $conn->error;
}

$stmt->close();
$conn->close();
?>

代码解释

在 SQL 中,问号 (?) 是 firstnamelastnameemail 值的占位符:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

现在,看一下 bind_param() 函数。此函数将变量绑定到 SQL 查询中的占位符。占位符 (?) 将在执行时被变量中保存的实际值替换。"sss" 参数列出了每个参数的数据类型s 字符告诉 mysql 该参数是字符串。我们必须为每个参数定义一个这样的类型。通过告诉 mysql 期望什么类型的数据,我们最小化了 SQL 注入的风险:

$stmt->bind_param("sss", $firstname, $lastname, $email);

类型参数可以是以下四种类型之一:

  • i - 整数(整型数)
  • d - 双精度浮点数(浮点数)
  • s - 字符串(文本)
  • b - 二进制(图像、PDF 等)

注意:如果我们要插入来自外部源(如用户输入)的数据,对数据进行清理和验证非常重要。