2

根据经验,并且不断被告知使用准备好的语句和绑定我的参数的好处,我一直在我的代码中使用这两种技术,但是我想确切地了解这两种技术中的每一种的目的:

根据我对准备好的陈述的理解:

$sql = "SELECT * FROM myTable WHERE id = ".$id;
$stmt = $conn->prepare($sql);
$stmt->execute();

前面的代码应该使用我提出的查询在数据库中创建一种缓冲区。现在根据我的理解(我可能是非常错误的),前面的代码是不安全的,因为字符串$sql可能是任何取决于$id实际情况的字符串,如果$id= 1; DROP TABLE myTable;--,即使我有一个准备好的语句,我也会插入一个恶意查询。

据我了解,这是绑定我的参数的地方。如果我改为执行以下操作:

$sql = "SELECT * FROM myTable WHERE id = :id";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':id', $id);
$stmt->execute();

数据库应该事先准确地知道 sql 语句的所有部分: SELECT这些列:* FROM myTableWHERE id =“用户输入的变量”,如果是"a variable that was input by the user" != a variable,则查询失败。

有些人告诉我我的理解是正确的,而其他人则告诉我这是错误的,如果我错了、正确或遗漏了什么,有人可以告诉我吗?并尽可能详细地说明,非常感谢所有反馈!

4

1 回答 1

4

你是对的,第一种情况是不安全的。不过,重要的是要理解,只有在使用可变数据和/或重复执行相同的查询时,准备语句才有价值。如果您正在执行没有变量的普通语句,您可以简单地这样做:

$sql = "SELECT * from myTable WHERE this_column IS NOT NULL";
$result = $conn->query($sql);

最后得到一个可以使用的PDOStatement对象,就像你使用PDO::exec().

对于您的第二种情况,您在很大程度上是正确的。发生的情况是传递给数据库的变量被转义和引用(除非您使用 的第三个参数另外指定,否则PDOStatement::bindParam()它作为字符串发送,这在大多数情况下都很好。)因此,如果数据不正确,查询不会“失败”已发送。它的行为就像您传递了一个在数据库中不作为 ID 存在的有效数字。当然,在某些极端情况下,即使使用正确准备的语句,您仍然容易受到攻击。

此外,为了让生活更轻松,您可以使用这样的准备好的语句来进行隐式绑定:

$sql = "SELECT * FROM myTable WHERE id = :id";
$stmt = $conn->prepare($sql);
$stmt->execute([":id"=>$id]);

甚至像这样,使用未命名的参数:

$sql = "SELECT * FROM myTable WHERE id = ?";
$stmt = $conn->prepare($sql);
$stmt->execute([$id]);

当然,在我输入答案时,大部分内容已在评论中进行了解释!

于 2016-05-09T20:04:39.413 回答