如何准备语句再次保护下面的语句中的SQL注入
我已经阅读了各种文档(SO post),以及PDO的Prepared语句如何保护用户免于SQL注入。
虽然,我知道它保护用户,因为在准备好的语句中,用户记录直接不在服务器上执行insted我们正在发送位置/命名参数(?/:名称),然后我们发送实际数据在执行语句中,因此它节省我们从SQL注入。
那么,现在,如果我有下面的SQL代码:
$query = "select * from user where id = $user_input_id";
和用户输入id = 1
所以查询将会是这样的:
$query = "select * from user where id = 1";
到现在为止,这是完美的。 但是,如果用户entre $ id =“1; DROP TABLE用户;” 所以查询将如下所示:
$query = "SELECT * FROM users where id=$id";
因此它会执行
$query = "SELECT * FROM users where id=1; DROP TABLE users;";
它的工作原理和用户表将会因为这个查询直接执行而下降:
那么,我已经阅读了准备好的声明可以从这里保存用户:
并准备好如下声明:
$data = "1; DROP TABLE users;"
$db->prepare("SELECT * FROM users where id=?");
$db->execute($data);
在执行语句中,使用Drop table记录正在传递,那么它将不会执行drop table statament? 也执行一些服务器上的部分权利?
任何人都可以请解释如何准确的声明在这里保存用户从SQL注入?
谢谢
如果没有显式设置类型(例如,请参阅PDOStatement::bindValue()
),它会将传递的值视为一个字符串,因此它会有效地执行此操作:
SELECT * FROM users where id='1; DROP TABLE users;'
顺便说一句,这实际上会发生,如果你使用模拟预处理语句( PDO::ATTR_EMULATE_PREPARES
); 没有这个,它会首先发送参数化查询,然后是实际数据。
这就是为什么您可以另外将绑定数据的类型设置为您需要的类型。
$stm->bindParam(":id", $id, PDO:PARAM_INT)
此外,PDO会对数据进行一些转义,并且您提供的字符串不会中断查询;
,但会在数据库中以纯字符串的形式插入。
SQL注入是针对SQL解析步骤的攻击,而不是语句执行步骤。 在这方面,它与其他解析攻击(如跨站脚本攻击和XML注入攻击)具有相似之处。
因为通过使用字符串连接操作符将单个字符串中的代码和(不可信)数据组合在一起的创建SQL语句的常见(破坏)技术允许特制字符串违反语句数据协议的可能性(通常由使用数据中嵌入的字符串分隔符突破数据上下文),并允许攻击者操纵SQL解析器,以执行与最初预期不同的代码。
当使用准备好的语句时,人们告诉解析器'将语句纯粹视为可信代码,并提供一些插槽,我将其插入执行的数据。
当你放下字符串'1; 将表用户'拖放到您使用'?'创建的数据槽中 占位符,该字符串不会被解析器处理,因此它没有机会影响字符串的解析:您使字符串的内容不可能脱离数据上下文。
使用你的例子,数据库将执行相应的语句:
SELECT * FROM users where id =“1; drop table users;”
这是一个非常有效的select语句,根据表中的数据可能返回或不返回行,但几乎肯定不会正常工作。
尽管如此,该方法绕过了SQL注入的尝试。
请注意:使用预准备语句是避免SQL注入攻击的唯一通用方法。 通常,尝试过滤不可信的输入数据会被破坏。
链接地址: http://www.djcxy.com/p/93799.html上一篇: How prepared statement protect again SQL injection in below statement