PDO预处理防御SQL注入

已于 2023-05-15 22:40:05 修改
阅读量6.3k 收藏 4
点赞数
分类专栏: web渗透 PHP 文章标签: 安全 php
于 2022-04-07 00:19:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49183673/article/details/124000318
版权

PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。

  • 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。
  • 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL注入。(然而,如果查询的其他部分是由未转义的输入来构建,则仍存在SQL注入的风险)。

示例1,如下为一个简易的PDO预处理查询环境

<link.php>

<?php
$servername="localhost";
$username="root";
$password="root";
$database="test";


$link =new PDO("mysql:host=$servername;dbname=$database",$username,$password);
$stmt=$link->prepare('select * from users where id=?');
$stmt->execute([$_GET['id']]);
foreach ($stmt as $item) {
    echo $item['id'].'&nbsp';
    echo $item['name'].'&nbsp';
    echo $item['sex'].'&nbsp';
    echo $item['passwd'].'&nbsp';

}

通过一个简易html页面提交id参数

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>pdo-test</title>
</head>
<body>
<form action="link.php" method="get">
    <input name="id" type="text">
    <input name="submit" type="submit">

</form>

</body>
</html>

测试数据表users

 提交敏感字符进行查询并查看日志记录,发现对 ' " 进行了转义处理,这就有点类似于addslashes()和mysql_real_escape_string()

 那可能会想到是否可以进行宽字节注入,使用payload:%df ' or 1=1#一试便知

 答案是当然不可以。宽字节注入需要满足两个条件:1、数据库连接使用宽字符集。2、使用转义函数来过滤输入的敏感字符。

这就涉及到PDO的转义机制

  • 本地转义,使用单字节字符集(PHP<5.3.6)来对输入进行转义,但这种方式存在安全隐患。在PHP版本小于5.3.6时,本地转义只能转换单字节的字符集,大于5.3.6的版本会根据PDO连接中指定的字符集进行转义。
  • mysql服务端转义,首先将SQL语句模板发送到mysql server,而后再讲绑定的变量发送给mysql server,这里的转义在mysql server中完成,根据PDO连接中指定的字符集进行转义。这样的转义方式更健全,同时还可以在有多次重复查询的业务场景下,通过复用模板来提高程序的性能。如果使用此转义机制需要添加参数:$PDO->setAttribute(PDO::ATTR_EMULATE_PREPARES,false),此参数默认情况下为true。如果不修改该参数,PDO会将输入的参数使用本地转义后和sql语句模板拼接并发送至mysql server。

示例1为本地转义机制,示例2如下添加PDO::ATTR_EMULATE_PREPARES参数后看看效果:

<?php
$servername="localhost";
$username="root";
$password="root";
$database="test";

$link =new PDO("mysql:host=$servername;dbname=$database",$username,$password);

$link->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);

$stmt=$link->prepare('select * from users where id=?');
$stmt->execute([$_GET['id']]);
foreach ($stmt as $item) {
    echo $item['id'].'&nbsp';
    echo $item['name'].'&nbsp';
    echo $item['sex'].'&nbsp';
    echo $item['passwd'].'&nbsp';

}

执行刚才的payload后查看日志,比刚才多出了一条预处理语句,原因是数据库先对预处理语句模板进行了解析,再将绑定参数发送给服务端执行。

 本文只做参考,如有不当之处还请师傅们指正,要想更加深入理解PDO还请查阅PHP官方文档。

嘎嘎不是鸭
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pdo调用方法以及防sql注入原理
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行防护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
SQL注入防御之三——SQL语句预处理PHP
心有猛虎,细嗅蔷薇!
08-26 8142
这篇文章将会告诉你,PHP怎么使用SQL语句预处理预处理语句有什么优点,以及分析预处理语句如何防止SQL注入
PDO预处理是如何防止SQL注入
y0un9er
05-13 2067
通过日志分析PDO是如何防止SQL注入
PHP中的PDO扩展如何使用预处理语句来防止SQL注入攻击?有哪些安全实践建议?
最新发布
Marthaondon的博客
04-15 1184
然后,我们使用prepare()方法准备了一个预处理语句,该语句中的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地防止SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值中包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地防止SQL注入。// 准备预处理语句。
PDO通过预处理语句防止sql注入
帅波的博客
05-26 454
简单登录页面防注入 数据库:test; 建表 CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(32) NOT NULL, email CHAR(32) NOT NULL ); 向表中插入一条数据: INSERT INTO user(use...
前端学PHPPDO预处理语句
weixin_34109408的博客
12-05 334
前面的话   本来要把预处理语句和前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用   定义   在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句...
PHP复习_PDO预处理方法的使用
测试
07-10 175
PDO预处理prepare()和execute()方法执行查询语句返回的是一个对象执行成功$res返回的是truefetch()得到查询的一条记录fetchAll()得到查询的所有记录或者fetch()和fetchAll()返回的都是二维数组(默认的是关联+索引)如果只想返回关联数组,写法如下:如果想返回的是对象,写法如下:除了这样设置,还有个方法可以直接设置返回的数组模式先声明,然后使用这样得...
使用PDOsql注入的原理分析
09-09
然而,需要注意的是,虽然PDO提供了强大的防御手段,但如果在构建查询时混用了预处理语句和其他未转义的用户输入,仍然可能存在SQL注入风险。例如,动态构造查询或在预处理语句之外使用`query()`方法,可能会引入...
SQL注入漏洞演示源代码
09-29
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。...同时,对于网络安全专业人员来说,这是一个很好的教育资源,可以帮助他们在实际环境中识别和防御SQL注入威胁。
360提供的phpsql注入代码修改类
05-02
1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据不会被解析为SQL代码。 3. 输入验证:对用户...
PHP防止SQL注入实现代码
10-28
- 使用预处理语句始终是最推荐的防御方式,因为它们设计用来防止SQL注入。 - 保持PHP和数据库驱动程序的最新版本,以获得最新的安全修复和特性。 - 应用程序的安全编码实践,如遵循OWASP(开放网络应用安全项目)...
PDO防止SQL注入详细介绍
乐杨俊浅谈LAMP
07-23 1325
PDO防止SQL注入详细介绍
php如何防sql注入,如何在PHP防止SQL注入
weixin_30636449的博客
03-09 307
本篇文章将给大家介绍关于PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驱动程序防止SQL注入的方法。下面我们来看具体的内容。简单的SQL注入示例例如,A有一个银行网站。已为银行客户提供了一个网络界面,以查看其帐号和余额。您的银行网站使用http://example.com/get_account_details.php?account_id=102等网址从数据库中提取详细信息。例...
关于pdo为何自动转换类型为string的问题
云端
06-23 4998
按张网上的做法  给pdo添加两个参数  PDO::ATTR_STRINGIFY_FETCHES和PDO::ATTR_EMULATE_PREPARES(都设为FALSE)  PDO::ATTR_STRINGIFY_FETCHES = 表示提取的时候将数值转换为字符串  PDO::ATTR_EMULATE_PREPARES = 启用或禁用预处理语句的模拟。 有些驱动不支持或有限度地支持本地预
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
pdo预处理机制及自动参数绑定功能
resilient的博客
12-10 352
PDO预处理语句就是把你想要运行的sql语句编译成一种模板,然后dao可以绑定参数去处理。 它的好处是,sql语句只解析一次,可以对参数绑定一次或者多次执行,提高了性能,节约了带宽的传输。 另外可以防止sql注入。 ...
Laravel Database——数据库服务的启动与连接
cangqiong_xiamen的博客
08-18 1105
前言 数据库是 laravel 及其重要的组成部分,大致的讲,laravel 的数据库功能可以分为两部分:数据库 DB、数据库 Eloquent Model。数据库的 Eloquent 是功能十分丰富的 ORM,让我们可以避免写繁杂的 sql 语句。数据库 DB 是比较底层的与 pdo 交互的功能,Eloquent 的底层依赖于 DB。本文将会介绍数据库 DB 中关于数据库服务的启动与连接部分。 在详细讲解数据库各个功能之前,我们先看看支撑着整个 laravel 数据库功能的框架: DB 也就是 Da
pdo连接mysql 注入_PHP使用PDO实现mysql防注入功能详解
weixin_30044149的博客
01-19 146
本文实例讲述了PHP使用PDO实现mysql防注入功能。分享给大家供大家参考,具体如下:1、什么是注入攻击例如下例:前端有个提交表格:姓名:密码:后台的处理如下:$username=$_POST["username"];$password=$_POST["password"];$age=$_POST["age"];//连接数据库,新建PDO对象$pdo=new PDO("mysql:host=lo...
PDO预处理防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入数据作为参数传递给SQL语句,从而避免了恶意用户输入一些SQL语句,从而破坏原有的SQL语句执行逻辑的情况。PDO预处理语句会自动转义输入的特殊字符,确保输入的数据不会被解释为SQL语句的一部分。 当PDO预处理执行时,数据库会在执行SQL语句之前编译它,并在接收到实际参数值后执行该语句。这确保了SQL语句和参数值之间的完全分离,并保障了SQL语句的安全性。 因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值