如何在PHP中创建一个安全的MySQL准备语句?
我是使用PHP中的MySQL准备语句的新手。 我需要一些帮助,创建一个准备好的语句来检索列。
我需要从不同栏目获取信息。 目前对于测试文件,我使用完全不安全的 SQL语句:
$qry = "SELECT * FROM mytable where userid='{$_GET['userid']}' AND category='{$_GET['category']}'ORDER BY id DESC"
$result = mysql_query($qry) or die(mysql_error());
有人可以帮助我创建一个安全的 mysql语句使用来自url参数的输入(如上)准备好了吗?
奖金:准备好的陈述也会增加速度。 如果我只在页面上使用三次或四次准备好的语句,它会提高整体速度吗?
下面是一个使用mysqli的例子(对象语法 - 如果你愿意,很容易翻译成函数语法):
$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable where userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();
$stmt->store_result();
$stmt->bind_result($column1, $column2, $column3);
while($stmt->fetch())
{
echo "col1=$column1, col2=$column2, col3=$column3 n";
}
$stmt->close();
另外,如果你想要一个简单的方法来抓取关联数组(与SELECT *一起使用),而不必精确地指定要绑定的变量,这里有一个方便的函数:
function stmt_bind_assoc (&$stmt, &$out) {
$data = mysqli_stmt_result_metadata($stmt);
$fields = array();
$out = array();
$fields[0] = $stmt;
$count = 1;
while($field = mysqli_fetch_field($data)) {
$fields[$count] = &$out[$field->name];
$count++;
}
call_user_func_array(mysqli_stmt_bind_result, $fields);
}
要使用它,只需调用它而不是调用bind_result:
$stmt->store_result();
$resultrow = array();
stmt_bind_assoc($stmt, $resultrow);
while($stmt->fetch())
{
print_r($resultrow);
}
你可以这样写:
$qry = "SELECT * FROM mytable where userid='";
$qry.= mysql_real_escape_string($_GET['userid'])."' AND category='";
$qry.= mysql_real_escape_string($_GET['category'])."' ORDER BY id DESC";
但要使用准备好的语句,最好使用通用库,如PDO
<?php
/* Execute a prepared statement by passing an array of values */
$sth = $dbh->prepare('SELECT * FROM mytable where userid=? and category=?
order by id DESC');
$sth->execute(array($_GET['userid'],$_GET['category']));
//Consider a while and $sth->fetch() to fetch rows one by one
$allRows = $sth->fetchAll();
?>
或者,使用mysqli
<?php
$link = mysqli_connect("localhost", "my_user", "my_password", "world");
/* check connection */
if (mysqli_connect_errno()) {
printf("Connect failed: %sn", mysqli_connect_error());
exit();
}
$category = $_GET['category'];
$userid = $_GET['userid'];
/* create a prepared statement */
if ($stmt = mysqli_prepare($link, 'SELECT col1, col2 FROM mytable where
userid=? and category=? order by id DESC')) {
/* bind parameters for markers */
/* Assumes userid is integer and category is string */
mysqli_stmt_bind_param($stmt, "is", $userid, $category);
/* execute query */
mysqli_stmt_execute($stmt);
/* bind result variables */
mysqli_stmt_bind_result($stmt, $col1, $col2);
/* fetch value */
mysqli_stmt_fetch($stmt);
/* Alternative, use a while:
while (mysqli_stmt_fetch($stmt)) {
// use $col1 and $col2
}
*/
/* use $col1 and $col2 */
echo "COL1: $col1 COL2: $col2n";
/* close statement */
mysqli_stmt_close($stmt);
}
/* close connection */
mysqli_close($link);
?>
我同意其他几个答案:
ext/mysql
不支持参数化的SQL语句。 mysql_real_escape_string()
也可以是有效的,但是对于代码更加冗长。 您还应该注意,即使使用查询参数,您仍然需要对SQL注入保持谨慎,因为参数只代替SQL查询中的字面值。 如果动态构建SQL查询并将PHP变量用于表名,列名或SQL语法的任何其他部分,则在这种情况下查询参数或mysql_real_escape_string()
都mysql_real_escape_string()
。 例如:
$query = "SELECT * FROM $the_table ORDER BY $some_column";
关于表现:
甚至有些情况下,准备好的查询会损害性能。 例如,在以下情况下,优化程序不能假定它可以使用索引进行搜索,因为它必须假定参数值可能以通配符开头:
SELECT * FROM mytable WHERE textfield LIKE ?
上一篇: How to create a secure mysql prepared statement in php?