如何使用PDO查詢mysql避免SQL注入的方法

使用傳統的 mysql_connect 、mysql_query方法來連接查詢數據庫時，如果過濾不嚴緊，就有SQL注入風險。雖然可以用mysql_real_escape_string()函數過濾用戶提交的值，但是也有缺陷。而使用PHP的PDO擴展的 prepare 方法，就可以避免sql injection 風險。

PDO(PHP Data Object) 是PHP5新加入的一個重大功能，因為在PHP 5以前的php4/php3都是一堆的數據庫擴展來跟各個數據庫的連接和處理，如 php_mysql.dll。 PHP6中也將默認使用PDO的方式連接，mysql擴展將被作為輔助 。官方地址：http://php.net/manual/en/book.pdo.php

1. PDO配置

使用PDO擴展之前，先要啟用這個擴展，php.ini中，去掉”extension=php_pdo.dll”前面的”;”號，若要連接數據庫，還需要去掉與PDO相關的數據庫擴展前面的”;”號（一般用的是php_pdo_mysql.dll），然后重啟Apache服務器即可。

extension=php_pdo.dll? extension=php_pdo_mysql.dll

2. PDO連接mysql數據庫

$dbh?=?new?PDO("mysql:host=localhost;dbname=mydb","root","password");

默認不是長連接，若要使用數據庫長連接，可以在最后加如下參數：

$dbh?=?new?PDO("mysql:host=localhost;dbname=mydb","root","password","array(PDO::ATTR_PERSISTENT?=>?true)?");? $dbh?=?null;?//(釋放)

3. PDO設置屬性

PDO有三種錯誤處理方式：

PDO::ERrmODE_SILENT不顯示錯誤信息，只設置錯誤碼

PDO::ERrmODE_WARNING顯示警告錯

PDO::ERrmODE_EXCEPTION拋出異常

可通過以下語句來設置錯誤處理方式為拋出異常

$db->setAttribute(PDO::ATTR_ERrmODE,?PDO::ERrmODE_EXCEPTION);

因為不同數據庫對返回的字段名稱大小寫處理不同，所以PDO提供了PDO::ATTR_CASE設置項（包括PDO::CASE_LOWER，PDO::CASE_NATURAL，PDO::CASE_UPPER），來確定返回的字段名稱的大小寫。

通過設置PDO::ATTR_ORACLE_NULLS類型（包括PDO::NULL_NATURAL，PDO::NULL_EmpTY_STRING，PDO::NULL_TO_STRING）來指定數據庫返回的NULL值在php中對應的數值。

4. PDO常用方法及其應用

PDO::query() 主要是用于有記錄結果返回的操作，特別是SELECT操作

PDO::exec() 主要是針對沒有結果集合返回的操作，如INSERT、UPDATE等操作

PDO::prepare() 主要是預處理操作，需要通過$rs->execute()來執行預處理里面的SQL語句，這個方法可以綁定參數，功能比較強大（防止sql注入就靠這個）

PDO::lastInsertId() 返回上次插入操作，主鍵列類型是自增的最后的自增ID?

PDOStatement::fetch() 是用來獲取一條記錄

PDOStatement::fetchAll() 是獲取所有記錄集到一個集合

PDOStatement::fetchColumn() 是獲取結果指定第一條記錄的某個字段，缺省是第一個字段

PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()進行DELETE、INSERT、UPDATE操作影響的結果集，對PDO::exec()方法和SELECT操作無效。

5.PDO操作MYSQL數據庫實例

<?php   $pdo = new PDO("mysql:host=localhost;dbname=mydb","root","");  if($pdo ->?exec("insert?into?mytable(name,content)?values('fdipzone','123456')")){? echo?"insert?success";? echo?$pdo?-&gt;?lastinsertid();? }? ?&gt;

<?php   $pdo = new PDO("mysql:host=localhost;dbname=mydb","root","");  $rs = $pdo ->?query("select?*?from?table");? $rs-&gt;setFetchMode(PDO::FETCH_ASSOC);?//關聯數組形式 //$rs-&gt;setFetchMode(PDO::FETCH_NUM);?//數字索引數組形式 while($row?=?$rs?-&gt;?fetch()){? ????print_r($row);? }? ?&gt;

<?php foreach( $db->query(?"SELECT?*?FROM?table"?)?as?$row?) { ????print_r(?$row?); } ?&gt;

統計有多少行數據：

<?php $sql="select count(*) from table"; $num = $dbh->query($sql)-&gt;fetchColumn(); ?&gt;

prepare方式：

<?php $query = $dbh->prepare("select * from table"); if ($query->execute()) {     while ($row = $query->fetch()) {         print_r($row);     } } ?>

prepare參數化查詢：

<?php $query = $dbh->prepare("select?*?from?table?where?id?=??"); if?($query-&gt;execute(array(1000)))?{? ????while?($row?=?$query-&gt;fetch(PDO::FETCH_ASSOC))?{ ????????print_r($row); ????} } ?&gt;

使用PDO訪問MySQL數據庫時，真正的real prepared statements 默認情況下是不使用的。為了解決這個問題，你必須禁用 prepared statements的仿真效果。下面是使用PDO創建鏈接的例子：

<?php $dbh = new PDO(&#39;mysql:dbname=mydb;host=127.0.0.1;charset=utf8&#39;, &#39;root&#39;, &#39;pass&#39;); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,?false); ?&gt;

setAttribute()這一行是強制性的，它會告訴 PDO 禁用模擬預處理語句，并使用 real parepared statements 。這可以確保SQL語句和相應的值在傳遞到mysql服務器之前是不會被PHP解析的（禁止了所有可能的惡意SQL注入攻擊）。

雖然你可以配置文件中設置字符集的屬性(charset=utf8)，但是需要格外注意的是，老版本的 PHP（

完整的代碼使用實例：

<?php $dbh = new PDO("mysql:host=localhost; dbname=mydb", "root", "pass"); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,?false);?//禁用prepared?statements的仿真效果 $dbh-&gt;exec("set?names?'utf8'");? $sql="select?*?from?table?where?username?=???and?password?=??"; $query?=?$dbh-&gt;prepare($sql);? $exeres?=?$query-&gt;execute(array($username,?$pass));? if?($exeres)?{? ????while?($row?=?$query-&gt;fetch(PDO::FETCH_ASSOC))?{ ????????print_r($row); ????} } $dbh?=?null; ?&gt;

上面這段代碼就可以防范sql注入。為什么呢？

當調用 prepare() 時，查詢語句已經發送給了數據庫服務器，此時只有占位符 ? 發送過去，沒有用戶提交的數據；當調用到 execute()時，用戶提交過來的值才會傳送給數據庫，它們是分開傳送的，兩者獨立的，SQL攻擊者沒有一點機會。

但是我們需要注意的是以下幾種情況，PDO并不能幫助你防范SQL注入。

不能讓占位符 ? 代替一組值，這樣只會獲取到這組數據的第一個值，如：

select?*?from?table?where?userid?in?(???);

如果要用in來查找，可以改用find_in_set()實現

$ids?=?'1,2,3,4,5,6'; select?*?from?table?where?find_in_set(userid,??);

不能讓占位符代替數據表名或列名，如：

select?*?from?table?order?by??;

不能讓占位符 ? 代替任何其他SQL語法，如：

select?extract(???from?addtime)?as?mytime?from?table;

本篇文章如何使用pdo查詢mysql避免sql注入的方法，更多相關內容請關注php中文網。

相關推薦：

關于php 雙向隊列類的講解

關于php 雙向隊列類的講解

關于php 雙向隊列類的講解