如何在PHP中创建一个安全的MySQL准备语句?

 

我是使用PHP中的MySQL准备语句的新手。 我需要一些帮助,创建一个准备好的语句来检索列。

我需要从不同栏目获取信息。 目前对于测试文件,我使用完全不安全的 SQL语句: 

$qry = "SELECT * FROM mytable where userid='{$_GET['userid']}' AND category='{$_GET['category']}'ORDER BY id DESC"
$result = mysql_query($qry) or die(mysql_error());

有人可以帮助我创建一个安全的 mysql语句使用来自url参数的输入(如上)准备好了吗?

奖金:准备好的陈述也会增加速度。 如果我只在页面上使用三次或四次准备好的语句,它会提高整体速度吗?

下面是一个使用mysqli的例子(对象语法 - 如果你愿意,很容易翻译成函数语法): 

$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable where userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$stmt->store_result();
$stmt->bind_result($column1, $column2, $column3);

while($stmt->fetch())
{
    echo "col1=$column1, col2=$column2, col3=$column3 n";
}

$stmt->close();

另外,如果你想要一个简单的方法来抓取关联数组(与SELECT *一起使用),而不必精确地指定要绑定的变量,这里有一个方便的函数: 

function stmt_bind_assoc (&$stmt, &$out) {
    $data = mysqli_stmt_result_metadata($stmt);
    $fields = array();
    $out = array();

    $fields[0] = $stmt;
    $count = 1;

    while($field = mysqli_fetch_field($data)) {
        $fields[$count] = &$out[$field->name];
        $count++;
    }
    call_user_func_array(mysqli_stmt_bind_result, $fields);
}

要使用它,只需调用它而不是调用bind_result: 

$stmt->store_result();

$resultrow = array();
stmt_bind_assoc($stmt, $resultrow);

while($stmt->fetch())
{
    print_r($resultrow);
}

你可以这样写: 

$qry = "SELECT * FROM mytable where userid='";
$qry.= mysql_real_escape_string($_GET['userid'])."' AND category='";
$qry.= mysql_real_escape_string($_GET['category'])."' ORDER BY id DESC";

但要使用准备好的语句,最好使用通用库,如PDO 

<?php
/* Execute a prepared statement by passing an array of values */
$sth = $dbh->prepare('SELECT * FROM mytable where userid=? and category=? 
                      order by id DESC');
$sth->execute(array($_GET['userid'],$_GET['category']));
//Consider a while and $sth->fetch() to fetch rows one by one
$allRows = $sth->fetchAll(); 
?>

或者,使用mysqli 

<?php
$link = mysqli_connect("localhost", "my_user", "my_password", "world");

/* check connection */
if (mysqli_connect_errno()) {
    printf("Connect failed: %sn", mysqli_connect_error());
    exit();
}

$category = $_GET['category'];
$userid = $_GET['userid'];

/* create a prepared statement */
if ($stmt = mysqli_prepare($link, 'SELECT col1, col2 FROM mytable where 
                      userid=? and category=? order by id DESC')) {
    /* bind parameters for markers */
    /* Assumes userid is integer and category is string */
    mysqli_stmt_bind_param($stmt, "is", $userid, $category);  
    /* execute query */
    mysqli_stmt_execute($stmt);
    /* bind result variables */
    mysqli_stmt_bind_result($stmt, $col1, $col2);
    /* fetch value */
    mysqli_stmt_fetch($stmt);
    /* Alternative, use a while:
    while (mysqli_stmt_fetch($stmt)) {
        // use $col1 and $col2 
    }
    */
    /* use $col1 and $col2 */
    echo "COL1: $col1 COL2: $col2n";
    /* close statement */
    mysqli_stmt_close($stmt);
}

/* close connection */
mysqli_close($link);
?>

我同意其他几个答案:

  • PHP的ext/mysql不支持参数化的SQL语句。
  • 在防止SQL注入问题方面,查询参数被认为更可靠。
  • 如果你正确使用它, mysql_real_escape_string()也可以是有效的,但是对于代码更加冗长。
  • 在某些版本中,国际字符集具有不能正确转义的字符的情况,从而留下微妙的漏洞。 使用查询参数可以避免这些情况。

    • 您还应该注意,即使使用查询参数,您仍然需要对SQL注入保持谨慎,因为参数只代替SQL查询中的字面值。 如果动态构建SQL查询并将PHP变量用于表名,列名或SQL语法的任何其他部分,则在这种情况下查询参数或mysql_real_escape_string()mysql_real_escape_string() 。 例如: 

    $query = "SELECT * FROM $the_table ORDER BY $some_column";

    关于表现:

  • 当您使用不同的参数值多次执行准备好的查询时,会带来性能优势。 您避免了解析和准备查询的开销。 但是多长时间需要在同一个PHP请求中多次执行相同的SQL查询?
  • 即使您可以充分利用这种性能优势,与其他解决性能问题的许多其他方面相比,通常也只是略有改进,例如有效使用操作码缓存或数据缓存。

  • 甚至有些情况下,准备好的查询会损害性能。 例如,在以下情况下,优化程序不能假定它可以使用索引进行搜索,因为它必须假定参数值可能以通配符开头: 

    SELECT * FROM mytable WHERE textfield LIKE ?
    • 链接地址: http://www.djcxy.com/p/93783.html

    上一篇: How to create a secure mysql prepared statement in php?

    下一篇: Prepared statements and second order SQL injections