ThinkPHP 3.1如何使用PDO查询Mysql来避免SQL注入

作者:袖梨 2022-06-25

PHP5中PDO的入门教程

如果已经了解了PDO,可以直接看下面的ThinkPHP 3.1如何使用PDO查询Mysql来避免SQL注入风险。

PDO(PHP Data Object) 是PHP 5新出来的东西,在PHP 5.5中,更是强烈推荐使用PDO来处理数据库,将把所有的数据库扩展移到了PECL,那么默认就是没有了我们喜爱的php_mysql.dll之类的了,那怎么办捏,我们只有与时俱进了,我就小试了一把PDO。

【PDO是啥】

PDO是PHP5新加入的一个重大功能,因为在PHP5以前的PHP4/PHP3都是一堆的数据库扩展来跟各个数据库的连接和处理,什么 php_mysql.dll、php_pgsql.dll、php_mssql.dll、php_sqlite.dll等等扩展来连接MySQL、PostgreSQL、MS SQL Server、SQLite,同样的,我们必须借助 ADOdb、PEAR::DB、PHPlib::DB之类的数据库抽象类来帮助我们,无比烦琐和低效,毕竟,PHP代码的效率怎么能够比我们直接用C/C++写的扩展斜率高捏?所以嘛,PDO的出现是必然的,大家要平静学习的心态去接受使用,也许你会发现能够减少你不少功夫哦。


【安装PDO】

我是在Windows XP SP2 上面,所以嘛,整个过程都是在Windows行进行的啦,至于Linux/FreeBSD 等平台,请自行查找资料设置安装。

我的是PHP 5.4.31,已经自带有了php_pdo.dll的扩展,不过需要稍微设置一下才能使用。

打开 c:windowsphp.ini ,那是我的PHP配置文件,找到下面这行:

extension_dir

这个就是我们扩展存在的目录,我的PHP 5扩展是在:C:php5ext,那么我就把这行改成:

    extension_dir = "C:/php5/ext"

然后再往php.ini下面找到:

    ;;;;;;;;;;;;;;;;;;;;;;
    ; Dynamic Extensions ;
    ;;;;;;;;;;;;;;;;;;;;;;

下面有一堆类似 ;extension=php_mbstring.dll 的东西,这里就是PHP扩展加载的配置了,我们再最后面添加上我们PDO的扩展:

    extension=php_pdo.dll
    extension=php_pdo_mysql.dll
    extension=php_pdo_pgsql.dll
    extension=php_pdo_sqlite.dll
    extension=php_pdo_mssql.dll
    extension=php_pdo_odbc.dll
    extension=php_pdo_firebird.dll
    ;extension=php_pdo_oci8.dll

各种PDO的驱动,能给加上的全给加上,不过后面的php_pdo_oci8.dll,因为我没有安装Oralce数据库,所以没有这个,就使用分号注释掉它。然后重启我们的Web服务器, IIS/Apache,我的是IIS,嘿嘿,表鄙视我,在Windows上,简单嘛。

重启后,在我们Web服务器的文档目录下写一个phpinfo.php的文件,加上这些:

phpinfo();
?>

在浏览器里面输入:http://localhost/phpinfo.php,如果你的这个页面路径不一致,请自行输入。

输出的内容中,如果你能够顺利的看到:

    PDO
    PDO support enabled
    PDO drivers  mysql, pgsql, sqlite, mssql, odbc, firebird  

那么,恭喜你安装成功了,否则请仔细检查上面的步骤。

 

【牛刀小小试验】

我用的是MySQL 5.5.25a,如果你没有安装MySQL,请自行安装。我们建立好了MySQL,并且在test库里添加了表foo,包括 id,name,gender,time等四个字段。

我们开始构造第一个PDO应用,建立一个pdo.php文件在Web文档目录下:

exec("INSERT INTO foo SET name = 'heiyeluren',gender='男',time=NOW()");
echo $count;
$db = null;
?>


不明白啥意思,俺们来慢慢讲讲。这行:

$dsn = "mysql:host=localhost;dbname=test";

就是构造我们的DSN(数据源),看看里面的信息包括:数据库类型是mysql,主机地址是localhost,数据库名称是test,就这么几个信息。不同数据库的数据源构造方式是不一样的。

$db = new PDO($dsn, 'root', '123456');

初始化一个PDO对象,构造函数的参数第一个就是我们的数据源,第二个是连接数据库服务器的用户,第三个参数是密码。我们不能保证连接成功,后面我们会讲到异常情况,这里我们姑且认为它是连接成功的。

$count = $db->exec("INSERT INTO foo SET name = 'heiyeluren',gender='男',time=NOW()");
echo $count;

调用我们连接成功的PDO对象来执行一个查询,这个查询是一个插入一条记录的操作,使用PDO::exec() 方法会返回一个影响记录的结果,所以我们输出这个结果。最后还是需要结束对象资源:

$db = null;

默认这个不是长连接,如果需要数据库长连接,需要最后加一个参数:array(PDO::ATTR_PERSISTENT => true) 变成这样:

$db = new PDO($dsn, 'root', '', array(PDO::ATTR_PERSISTENT => true));

一次操作就这么简单,也许跟以前的没有太大区别,跟ADOdb倒是有几分相似。

 
【继续了解】

如果我们想提取数据的话,那么就应该使用数据获取功能。(下面用到的$db都是上面已经连接好的对象)

foreach ($db->query("SELECT * FROM foo") as $row)
{
    print_r($row);
}
?>



我们也可以使用这种获取方式:

query("SELECT * FROM foo");
while ($row = $rs->fetch())
{
    print_r($row);
}
?>



如果想一次把数据都获取到数组里可以这样:

query("SELECT * FROM foo");
$result_arr = $rs->fetchAll();
print_r($result_arr);
?>



输出:

Array
(
    [0] => Array
        (
            [id] => 1
            [0] => 1
            [name] => heiyeluren
            [1] => heiyeluren
            [gender] => 男
            [2] => 男
            [time] => 2006-10-28 23:14:23
            [3] => 2006-10-28 23:14:23
        )
}



我们看里面的记录,数字索引和关联索引都有,浪费资源,我们只需要关联索引的:

setAttribute(PDO::ATTR_CASE, PDO::CASE_UPPER);
$rs = $db->query("SELECT * FROM foo");
$rs->setFetchMode(PDO::FETCH_ASSOC);
$result_arr = $rs->fetchAll();
print_r($result_arr);
?>



看上面的代码,setAttribute() 方法是设置部分属性,主要属性有:PDO::ATTR_CASE、PDO::ATTR_ERRMODE等等,我们这里需要设置的是PDO::ATTR_CASE,就是我们使用关联索引获取数据集的时候,关联索引是大写还是小写,有几个选择:

    PDO::CASE_LOWER -- 强制列名是小写
    PDO::CASE_NATURAL -- 列名按照原始的方式
    PDO::CASE_UPPER -- 强制列名为大写

我们使用setFetchMode方法来设置获取结果集的返回值的类型,同样类型还有:

    PDO::FETCH_ASSOC -- 关联数组形式
    PDO::FETCH_NUM -- 数字索引数组形式
    PDO::FETCH_BOTH -- 两者数组形式都有,这是缺省的
    PDO::FETCH_OBJ -- 按照对象的形式,类似于以前的 mysql_fetch_object()

当然,一般情况下我们是使用PDO::FETCH_ASSOC,具体使用什么,按照你自己的需要,其他获取类型参考手册。

除了上面这种获取数据的方式,还有这种:

prepare("SELECT * FROM foo");
$rs->execute();
while ($row = $rs->fetch())
{
    print_r($row);
}
?>



其实差不多啦。如果你想获取指定记录里一个字段结果的话,可以使用 PDOStatement::fetchColumn():

query("SELECT COUNT(*) FROM foo");
$col = $rs->fetchColumn();
echo $col;
?>



一般使用fetchColumn()来进行count统计或者某些只需要单字段的记录很好操作。

 

简单的总结一下上面的操作

查询操作主要是PDO::query()、PDO::exec()、PDO::prepare()。PDO::query()主要是用于有记录结果返回的操作,特别是SELECT操作,PDO::exec()主要是针对没有结果集合返回的操作,比如INSERT、UPDATE、DELETE等操作,它返回的结果是当前操作影响的列数。PDO::prepare()主要是预处理操作,需要通过$rs->execute()来执行预处理里面的SQL语句,这个方法可以绑定参数,功能比较强大,不是本文能够简单说明白的,大家可以参考手册和其他文档。

获取结果集操作主要是:PDOStatement::fetchColumn()、PDOStatement::fetch()、PDOStatement::fetchALL()。PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段,缺省是第一个字段。PDOStatement::fetch() 是用来获取一条记录,PDOStatement::fetchAll()是获取所有记录集到一个中,获取结果可以通过PDOStatement::setFetchMode来设置需要结果集合的类型。

另外有两个周边的操作,一个是PDO::lastInsertId()和PDOStatement::rowCount()。PDO::lastInsertId()是返回上次插入操作,主键列类型是自增的最后的自增ID。PDOStatement::rowCount()主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集,对PDO::exec()方法和SELECT操作无效。

 

【错误处理】

如果程序中碰到错误咋办?我们这里描述PDO类的错误信息和异常处理。

1、面向对象的方式

先看看如果连接错误等的处理,使用面向对象的方式来处理:

catch (PDOException $e)
{
    print "Error: " . $e->getMessage() . "
";     die(); } ?>



这里利用我们PHP 5面向对象的异常处理特征,如果里面有异常的话就初始化调用PDOException来初始化一个异常类。

PDOException异常类的属性结构



这个异常处理类是集成PHP 5内置的异常处理类,我们简单的看一下PHP 5内置的异常处理类结构:



相应的,在代码中可以合适的调用 getFile() 和 getLine() 来进行错误定位,更方便的进行调试。

2、使用面向过程的方法

先看代码:

query("SELECT aa,bb,cc FROM foo");
if ($db->errorCode() != '00000')
{
    print_r($db->errorInfo());
    exit;
}
$arr = $rs->fetchAll();
print_r($arr);
$db = null;
?>



PDO和PDOStatement对象有 errorCode() 和 errorInfo() 方法,如果没有任何错误, errorCode() 返回的是: 00000 ,否则就会返回一些错误代码。errorInfo() 返回的一个数组,包括PHP定义的错误代码和MySQL的错误代码和错误信息,数组结构如下:

Array
(
    [0] => 42S22
    [1] => 1054
    [2] => Unknown column 'aaa' in 'field list'
)

每次执行查询以后,errorCode() 的结果都是最新的,所以我们可以很容易自己控制错误信息显示。

 

【简单总结】

从上面的使用看出,PDO功能确实强大,另外还有一些内容我没有讲到,比如绑定参数、预处理、存储过程、事务处理等等功能。另外还有不同数据扩 DSN的构造,Oracle数据库自己很多特殊的东西,都需要深入去学习理解,这篇文章就只是简单的描述了一些入门知识,算是对PDO一个简单的了解吧。

【事务和自动提交】

 至此,您已经通过 PDO 连接到了 mysql,在发出查询之前,您应该理解 PDO 是如何管理事务的。如果之前没有接触过事务,那么首先要知道事务的 4 个特征:原子性(Atomicity)、一致性(Consistency)、独立性(Isolation)和持久性(Durability),即 ACID。用外行人的话说,对于在一个事务中执行的任何工作,即使它是分阶段执行的,也一定可以保证该工作会安全地应用于数据库,并且在工作被提交时,不会受到来自其他连接的影响。事务性工作可以根据请求自动撤销(假设您还没有提交它),这使得脚本中的错误处理变得更加容易。

事务通常是通过把一批更改积蓄起来、使之同时生效而实现的。这样做的好处是可以大大提高这些更新的效率。换句话说,事务可以使脚本更快,而且可能更健壮(不过需要正确地使用事务才能获得这样的好处)。

不幸的是,并不是每种数据库都支持事务(Mysql5支持事务,mysql4我不知道),所以当第一次打开连接时,PDO 需要在所谓的“自动提交(auto-commit)”模式下运行。自动提交模式意味着,如果数据库支持事务,那么您所运行的每一个查询都有它自己的隐式事务,如果数据库不支持事务,每个查询就没有这样的事务。如果您需要一个事务,那么必须使用 PDO::beginTransaction() 方法来启动一个事务。如果底层驱动程序不支持事务,那么将会抛出一个 PDOException(无论错误处理设置是怎样的:这总是一个严重错误状态)。在一个事务中,可以使用 PDO::commit() 或 PDO::rollBack() 来结束该事务,这取决于事务中运行的代码是否成功。

当脚本结束时,或者当一个连接即将被关闭时,如果有一个未完成的事务,那么 PDO 将自动回滚该事务。这是一种安全措施,有助于避免在脚本非正常结束时出现不一致的情况 ―― 如果没有显式地提交事务,那么假设有某个地方会出现不一致,所以要执行回滚,以保证数据的安全性。

 true));
    echo "Connectedn";
    $db->setAttribute(PDO_ATTR_ERRMODE, PDO_ERRMODE_EXCEPTION);
    $db->beginTransaction();
    $db->exec("insert into staff (id, first, last) values (23, 'Joe', 'Bloggs')");
    $db->exec("insert into salarychange (id, amount, changedate) values (23, 50000, NOW())");
    $db->commit();
}
catch (Exception $e)
{
    $db->rollBack();
    echo "Failed: " . $e->getMessage();
}
?>



在上面的示例中,假设我们为一个新雇员创建一组条目,这个雇员有一个 ID 号,即 23。除了输入这个人的基本数据外,我们还需要记录雇员的薪水。两个更新分别完成起来很简单,但通过将这两个更新包括在 beginTransaction() 和 commit() 调用中,就可以保证在更改完成之前,其他人无法看到更改。如果发生了错误,catch 块可以回滚事务开始以来发生的所有更改,并打印出一条错误消息。

并不是一定要在事务中作出更新。您也可以发出复杂的查询来提取数据,还可以使用那种信息构建更多的更新和查询。当事务在活动时,可以保证其他人在工作进行当中无法作出更改。事实上,这不是 100% 的正确,但如果您之前没有听说过事务的话,这样介绍也未尝不可。

 

【预处理语句和存储过程】

很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?您可以把预处理语句看作您想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处:

    查询只需解析(或准备)一次,但是可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,这个过程要花比较长的时间,如果您需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/ 编译/优化周期。简言之,预处理语句使用更少的资源,因而运行得更快。
    提供给预处理语句的参数不需要用引号括起来,驱动程序会处理这些。如果应用程序独占地使用预处理语句,那么可以确保没有 SQL 入侵发生。(然而,如果您仍然将查询的其他部分建立在不受信任的输入之上,那么就仍然存在风险)。

预处理语句是如此有用,以致 PDO 实际上打破了在目标 4 中设下的规则:如果驱动程序不支持预处理语句,那么 PDO 将仿真预处理语句。

实例:PDO的应用例子:

__toString() . "
");         }     }     public final function query($sql)     {         try         {             return parent::query($this->setString($sql));         }         catch (PDOException $e)         {             die("Error: " . $e->__toString() . "
");         }     }     private final function setString($sql)     {         echo "我要处理一下$sql";         return $sql;     } } $db = newdb(); $db->setAttribute(PDO::ATTR_CASE, PDO::CASE_UPPER); foreach ($db->query('SELECT * from xxxx_menu') as $row) {     print_r($row); } $db->exec('DELETE FROM  `xxxx_menu` where mid=43'); ?>



ThinkPHP 3.1如何使用PDO查询Mysql来避免SQL注入风险


当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免 sql injection 风险。

PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展来跟各个数据库的连接和处理,如 php_mysql.dll。 PHP5.6中也将默认使用PDO的方式连接,mysql扩展将被作为辅助 。官方:http://php.net/manual/zh/book.pdo.php

1、PDO配置

使用PDO扩展之前,先要启用这个扩展,PHP.ini中,去掉"extension=php_pdo.dll"前面的";"号,若要连接数据库,还需要去掉与PDO相关的数据库扩展前面的";"号(一般用的是php_pdo_mysql.dll),然后重启Nginx服务器即可。

    extension=php_pdo.dll
    extension=php_pdo_mysql.dll

2、PDO连接mysql数据库

    $dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password");

默认不是长连接,若要使用数据库长连接,需要在最后加如下参数:

    $dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password","array(PDO::ATTR_PERSISTENT => true)");  
    $dbh = null; //(释放)  

3、PDO设置属性

1)、PDO有三种错误处理方式:

    PDO::ERRMODE_SILENT不显示错误信息,只设置错误码
    PDO::ERRMODE_WARNING显示警告错
    PDO::ERRMODE_EXCEPTION抛出异常

可通过以下语句来设置错误处理方式为抛出异常

    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

当设置为PDO::ERRMODE_SILENT时可以通过调用 errorCode() 或 errorInfo()来获得错误信息,当然其他情况下也可以。

2)、因为不同数据库对返回的字段名称大小写处理不同,所以PDO提供了PDO::ATTR_CASE设置项(包括PDO::CASE_LOWER,PDO::CASE_NATURAL,PDO::CASE_UPPER),来确定返回的字段名称的大小写。

3)、通过设置PDO::ATTR_ORACLE_NULLS类型(包括PDO::NULL_NATURAL,PDO::NULL_EmpTY_STRING,PDO::NULL_TO_STRING)来指定数据库返回的NULL值在PHP中对应的数值。

4、PDO常用方法及其应用

    PDO::query() 主要是用于有记录结果返回的操作,特别是SELECT操作
    PDO::exec() 主要是针对没有结果集合返回的操作,如INSERT、UPDATE等操作
    PDO::prepare() 主要是预处理操作,需要通过$rs->execute()来执行预处理里面的SQL语句,这个方法可以绑定参数,功能比较强大(防止sql注入就靠这个)
    PDO::lastInsertId() 返回上次插入操作,主键列类型是自增的最后的自增ID
    PDOStatement::fetch() 是用来获取一条记录
    PDOStatement::fetchAll() 是获取所有记录集到一个集合
    PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段,缺省是第一个字段
    PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集,对PDO::exec()方法和SELECT操作无效

5、PDO操作MySQL数据库实例

exec("insert into db_demo(name,content) values('title','content')"))
{
    echo "插入成功!";
    echo $pdo->lastinsertid();
}
?>
query("select * from test");
$rs->setFetchMode(PDO::FETCH_ASSOC); // 关联数组形式
//$rs->setFetchMode(PDO::FETCH_NUM); // 数字索引数组形式
while ($row = $rs->fetch())
{
    print_r($row);
}
?>
query("SELECT * FROM feeds") as $row)
{
    print_r($row);
}
?>



统计有多少行数据

$sql="select count(*) from test";
$num = $dbh->query($sql)->fetchColumn();



prepare方式

prepare("select * from test");
if ($stmt->execute())
{
    while ($row = $stmt->fetch())
    {
        print_r($row);
    }
}
?>



prepare参数化查询

prepare("select * from test where name = ?");
if ($stmt->execute(array("david")))
{
    while ($row = $stmt->fetch(PDO::FETCH_ASSOC))
    {
        print_r($row);
    }
}
?>



【下面来说说重点了,如何防止SQL注入】

使用PDO访问MySQL数据库时,真正的 real prepared statements 默认情况下是不使用的。为了解决这个问题,你必须禁用 prepared statements的仿真效果。下面是使用PDO创建链接的例子:

setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
?>



setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到MySQL服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。

我们来看一段完整的代码使用实例:

setAttribute(PDO::ATTR_EMULATE_PREPARES, false); // 禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'");
$sql = "select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres)
{
    while ($row = $stmt->fetch(PDO::FETCH_ASSOC))
    {
        print_r($row);
    }
}
$dbh = null;
?>



上面这段代码就可以防范sql注入。为什么呢?

当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。

但是我们需要注意的是以下几种情况,PDO并不能帮助你完全防范SQL注入

1、你不能让占位符 ? 代替一组值,如:

    SELECT * FROM blog WHERE userid IN ( ? );

2、你不能让占位符代替数据表名或列名,如:

    SELECT * FROM blog ORDER BY ?;

3、你不能让占位符 ? 代替任何其他SQL语法,如:

    SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

相关文章

精彩推荐