php - php: sql-injection > 无法使用prepared statement时如何防止？

您可能认为在每个输入上使用mysqli::real_escape_string()之类的“转义”函数与使用准备好的语句一样安全。

除了：

• 转义不适用于数字输入，仅适用于带引号的字符串和带引号的日期。

• 转义有一些意想不到的情况，它不起作用。这些是边缘情况，但它们存在。请参阅有关mysql_real_escape_string()的 SQL 注入答案中的一些示例

• 编写代码时转义更难。正确地做是费时费力的，而且容易出错。开发人员经常想跳过它。

关心防止 SQL 注入的开发人员建议使用查询参数来代替，原因有几个，包括但不限于以下几点：

• 查询参数也适用于数值。

• 使用查询参数的代码更易于编写和阅读，并且不易出错。我们希望开发者一旦养成了使用查询参数的习惯，使用这种方式的可靠性会更高，漏洞的可能性也会降低。

例如，您可以编写如下代码：

$sql = "INSERT INTO mytable (col1, col2, col3, col4, col5, col6) 
  VALUES ('" . mysqli_real_escape_string($_POST['col1']) . "', " 
  . $mysqli->real_escape_string($_POST['col2']) . "', '" 
  . $mysqli->real_escape_string($_POST['col3']) . "', '" 
  . $mysqli->real_escape_string($_POST['col4']) . ", '" 
  . $mysqli->real_escape_string($_POST['col5']) . "', '" 
  . $mysqli->real_escape_string($_POST['col6']) . "')";

你能发现错误吗？有足够的时间，我相信你可以。但它会减慢你的编码速度，并且在你寻找丢失的引号字符和其他错误时可能会让你眼睛疲劳。

但是这样写要容易得多，之后也更容易阅读：

$sql = "INSERT INTO mytable (col1, col2, col3, col4, col5, col6) 
  VALUES (?, ?, ?, ?, ?, ?)";

查询参数对于更多数据类型是安全的，它们可以帮助您更快地编写代码，减少错误。这是一个很大的胜利。

与上面的其他评论一样，我不同意您关于 MySQLi 不支持查询参数的说法。它清楚地显示在文档中：https ://www.php.net/manual/en/mysqli.prepare.php

如果您有一些使用 MySQLi 但​​不支持的包装器代码mysqli::prepare()，那么我建议您停止使用该包装器代码。要么为你的框架编写特性以便它使用查询参数，要么得到另一个框架。

---

还有像“改变”你的框架“或不够用的答案！

看，这是事实：如果你不能编写安全地处理用户输入的代码，那么你就不应该接受用户输入。

您认为有使用方法，preg_replace()但没有。注入代码的方法有很多种（SQL 或 Javascript），最终您也会过滤掉许多合法的用户评论。如果您的 Web 应用程序从他们的评论中去掉引号和撇号，您的用户会有什么反应？您还需要删除哪些其他字符？

查询参数是这个问题最有效的解决方案。你对他们的抵制是荒谬的。

这就像一个电工问，“我怎样才能防止被电击？但我不能使用绝缘手套或工具，所以不要这么建议。”