参数化查询如何防止 SQL注入
|
文章 , 学习笔记
|
1.5k 字
|
6 分钟
在 Web 开发中,SQL 注入始终是威胁数据库安全的重大隐患。攻击者通过在输入框中插入恶意 SQL 代码,就能非法访问或篡改数据库。而参数化查询作为防范 SQL 注入的有效手段,能通过分离输入数据与查询语句,从源头降低风险。下面我们结合 PHP 语言,详细介绍参数化查询的应用。

一、参数化查询的核心概念

参数化查询是一种在执行 SQL 语句前,用占位符替代具体值的技术。它不直接将用户输入嵌入查询语句,而是在执行时动态绑定参数,从而避免输入被误解析为 SQL 代码。
例如,同样是查询用户信息:
  • 普通 SQL 查询(直接拼接值,风险高):
1
<code class="language-sql">SELECT * FROM users WHERE username = &#039;admin&#039; AND password = &#039;123456&#039;;</code>
  • 参数化查询(用占位符,安全):
1
<code class="language-sql">SELECT * FROM users WHERE username = :username AND password = :password;</code>
(PHP 中常用:参数名作为占位符,也可使用问号?

二、参数化查询防注入的关键优势

1. 数据与代码严格分离

参数化查询将 SQL 语句模板与输入数据分开处理,输入值仅被视为 “数据” 而非 “可执行代码”。即使攻击者输入包含DELETE FROM users等恶意内容,数据库也只会将其当作字符串,不会执行。

2. 自动处理特殊字符

PHP 的数据库扩展(如 PDO、MySQLi)会自动转义输入中的特殊字符(如单引号、分号、--注释符等)。例如输入' OR '1'='1时,特殊符号会被转义,避免被解析为 SQL 命令的一部分。

3. 支持多参数灵活绑定

无论是单个参数还是多个参数,都能通过占位符轻松绑定,适配各种查询场景(如动态筛选、批量操作),且代码易于维护。

三、PHP 实战:用 PDO 实现参数化查询

PDO(PHP Data Objects)是 PHP 中推荐的数据库访问抽象层,支持多种数据库,且对参数化查询有良好支持。以下是具体示例:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
<code class="language-php">&lt;?php
// 数据库配置
$host = &#039;localhost&#039;;
$dbname = &#039;mydb&#039;;
$username = &#039;dbuser&#039;;
$password = &#039;dbpass&#039;;

try {
    // 建立PDO连接
    $pdo = new PDO(
        &quot;mysql:host=$host;dbname=$dbname;charset=utf8&quot;,
        $username,
        $password,
        [
            PDO::ATTR_ERRMODE =&gt; PDO::ERRMODE_EXCEPTION, // 开启错误抛出
            PDO::ATTR_EMULATE_PREPARES =&gt; false // 禁用模拟预处理(重要!确保真正的参数化)
        ]
    );

    // 用户输入(实际应用中可能来自表单、URL等)
    $userInputUsername = &#039;admin&#039;;
    $userInputPassword = &#039;123456&#039;;

    // 1. 准备参数化查询语句(使用命名占位符:username和:password)
    $stmt = $pdo-&gt;prepare(&quot;SELECT * FROM users WHERE username = :username AND password = :password&quot;);

    // 2. 绑定参数(两种方式可选)
    // 方式一:单独绑定
    // $stmt-&gt;bindParam(&#039;:username&#039;, $userInputUsername);
    // $stmt-&gt;bindParam(&#039;:password&#039;, $userInputPassword);

    // 方式二:执行时传入关联数组(更简洁)
    $stmt-&gt;execute([
        &#039;:username&#039; =&gt; $userInputUsername,
        &#039;:password&#039; =&gt; $userInputPassword
    ]);

    // 3. 获取结果
    $user = $stmt-&gt;fetch(PDO::FETCH_ASSOC);
    if ($user) {
        echo &quot;登录成功,用户信息:&quot; . print_r($user, true);
    } else {
        echo &quot;用户名或密码错误&quot;;
    }

} catch (PDOException $e) {
    die(&quot;数据库错误:&quot; . $e-&gt;getMessage());
}

// 关闭连接(PDO会自动关闭,可不显式调用)
$pdo = null;
?&gt;
</code>

关键说明:

  • PDO::prepare():用于预编译 SQL 语句,返回预处理语句对象。
  • 占位符:支持命名占位符(:name)问号占位符(?),推荐前者(更易读)。
  • bindParam()execute()传参:两种绑定方式均可,后者在参数较少时更便捷。
  • ATTR_EMULATE_PREPARES => false:禁用 PHP 模拟预处理,强制使用数据库原生参数化功能,避免潜在漏洞。

四、用 MySQLi 实现参数化查询(面向过程风格)

如果项目中使用 MySQLi 扩展,也可通过以下方式实现参数化查询:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<code class="language-php">&lt;?php
// 数据库配置
$host = &#039;localhost&#039;;
$dbname = &#039;mydb&#039;;
$dbuser = &#039;dbuser&#039;;
$dbpass = &#039;dbpass&#039;;

// 建立连接
$conn = new mysqli($host, $dbuser, $dbpass, $dbname);
if ($conn-&gt;connect_error) {
    die(&quot;连接失败:&quot; . $conn-&gt;connect_error);
}

// 用户输入
$username = &#039;admin&#039;;
$password = &#039;123456&#039;;

// 准备参数化查询(使用问号占位符)
$stmt = $conn-&gt;prepare(&quot;SELECT * FROM users WHERE username = ? AND password = ?&quot;);
// 绑定参数(i=int, s=string, d=double, b=blob)
$stmt-&gt;bind_param(&quot;ss&quot;, $username, $password); // &quot;ss&quot;表示两个参数均为字符串

// 执行查询
$stmt-&gt;execute();

// 获取结果
$result = $stmt-&gt;get_result();
$user = $result-&gt;fetch_assoc();

if ($user) {
    echo &quot;登录成功:&quot; . print_r($user, true);
} else {
    echo &quot;验证失败&quot;;
}

// 关闭资源
$stmt-&gt;close();
$conn-&gt;close();
?&gt;
</code>

关键说明:

  • prepare():预编译 SQL 语句。
  • bind_param():第一个参数为 “类型字符串”(指定参数数据类型),后续为要绑定的变量。

五、总结

在 PHP 开发中,无论是使用 PDO 还是 MySQLi,参数化查询都是防范 SQL 注入的 “标准操作”。其核心逻辑是通过预编译语句参数绑定,确保用户输入仅作为数据被处理,而非可执行的 SQL 代码。
记住:永远不要直接用字符串拼接的方式构造 SQL 语句(如"SELECT * FROM users WHERE username = '" . $username . "'"),这种做法会给攻击者留下可乘之机。采用参数化查询,让数据库操作更安全、更可靠。
上一篇
下一篇