使用prepared以及参数绑定查询可根本性防止sql注入的发生：SQL语句与参数分批传输到sql服务器的方式让利用字符串拼接的SQL注入没有了施展空间。

基本上你有两种方式完成上述方法：

使用PDO:

1. $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); 
2. $stmt->execute(array('name' => $name)); 
3. foreach ($stmt as $row) { 
4.     // do something with $row 
5. } 

2.使用MySQLi

1. $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); 
2. $stmt->bind_param('s', $name); 
3.  
4. $stmt->execute(); 
5. //phpfensi.com 
6. $result = $stmt->get_result(); 
7. while ($row = $result->fetch_assoc()) { 
8.     // do something with $row 
9. } 

正确的配置数据库连接

注意当你用PDO方式访问MySQLs时，使用真正的prepared 语句方式并不是默认设置。所以你必须禁止模拟prepared模式：

1. $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); 
2.  
3. $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
4. $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

以上语句中对错误模式的设置并不是必须的，但我强烈推荐加上它。这样脚本就不会因为数据库的”Fatal Error”而停止，而是抛出一个PDOExceptions,从而让你能够抓取到这个异常。

Tags: PHP注入 SQL注入

分享到：