bind_param完成了什么?

时间:2013-08-25 05:51:35

标签: php sql sql-injection

我正在学习避免SQL注入,我有点困惑。

使用bind_param时,我不明白其目的。在手册页上,我找到了这个例子:

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);

$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;

现在,假设这4个变量是用户输入的,我不明白这是如何阻止SQL注入的。根据我的理解,他们仍然可以输入他们想要的东西。

我也找不到'sssd'的解释。它有什么作用?是什么让它变得安全?

最后一个问题:我读到了另一个问题mysqli_real_escape_string已被弃用,但在手册中没有说明。它是如何弃用的?由于某种原因,它不能再逃避特殊角色了吗?

注意:这个问题解释了bind_param的作用,但我仍然不明白为什么它更安全或更受保护。 Bind_param explanation

2 个答案:

答案 0 :(得分:15)

  

现在,假设这4个变量是用户输入的,我不明白   这如何防止SQL注入。根据我的理解,他们仍然可以   在那里输入任何他们想要的东西。

主要原则是使用预设语句,用于向数据库服务器发送安全查询,这可以通过转义不属于真实查询的用户输入来完成,并且还可以在没有任何(where子句)的情况下检查查询在使用任何参数之前检查查询的有效性。

从这个问题:PDO sends raw query to MySQL while Mysqli sends prepared query, both produce the same result 

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username =?")) {
$stmt->bind_param("i", $user);
$user = "''1''";

服务器日志: 

  130802 23:39:39   175 Connect   ****@localhost on testdb
    175 Prepare   SELECT * FROM users WHERE username =?
    175 Execute   SELECT * FROM users WHERE username =0
    175 Quit

通过使用预准备语句,db server将在没有任何参数的情况下检查查询,在此阶段,可以在绑定任何参数之前检测到错误,然后,如果查询有效,参数也将被发送到服务器以完成查询。

来自PHP手册http://php.net/manual/en/mysqli.quickstart.prepared-statements.php

  

转义和SQL注入

     

绑定变量将由服务器自动转义。该   服务器将其转义值插入到适当的位置   执行前的语句模板。必须提供一个提示   服务器为绑定变量的类型,以创建合适的   转换。有关更多信息,请参阅mysqli_stmt_bind_param()函数   信息。

...

  

我也找不到那里'sssd'的解释。它是什么   做?是什么让它变得安全?

答案在这里:http://php.net/manual/en/mysqli-stmt.bind-param.php 

i
corresponding variable has type integer

d
corresponding variable has type double

s
corresponding variable has type string

b
corresponding variable is a blob and will be sent in packets
  

最后一个问题:我读到另一个问题   不推荐使用mysqli_real_escape_string,但它没有说明   手册。它是如何弃用的?难道它不能逃脱特殊角色   由于某种原因?

你能提供参考吗?我认为你误解了(mysql_real_escape_string()

答案 1 :(得分:11)

通过使用预准备语句,您将SQL查询与用户输入的数据分开。您可以在SQL查询中放置占位符('?'char),而不是输入数据。然后通过“mysqli :: prepare”方法将查询发送到DBMS服务器(例如:MySQL)。因此,服务器检查一切正常,如果是,则等待输入数据。到现在为止它已经知道了你的查询。只需要等待输入数据绑定到查询。

此时,“bind_param”开始行动,将占位符绑定到用户输入的数据。 请注意, bind_param仅将数据绑定到占位符,使查询保持不变。 因此,无法更改原始SQL查询,因为它已经通过prepare方法发送到服务器,并且因为您分别发送SQL查询和输入数据,因此用户输入的数据不会干扰查询。

反正...

在SQL中使用预准备语句的实际目的是降低处理查询的成本,而不是将数据与查询分开。这就是它现在的使用方式,而不是首先如何使用它。

'sssd'代表“string”,“string”,“string”和“double”。 实际上:$ code是一个字符串,$ language是一个字符串,$ official是一个字符串,$ percent是一个双重类型。

不推荐使用mysqli_real_escape_string但不推荐使用mysql_real_escape_string (第一个是mysqlI,我代表“改进”)。

相关问题
最新问题