SQL注入

什么时候最容易受到sql注入呢？

当应用程序使用输入的内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。

那么，如何来防止sql注入呢：

1.永远不要信任用户的输入，对用户的输入进行校验，可以通过正则表达式，或限制长度或者对字符进行转义来进行防止。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash(散列)掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。

6.sql注入的检测方法一般采用辅助软件或网络平台来检测。

下面我来讲一下mysqli中的预处理。

首先，在mysqli操作中常常涉及到它的三个类：MYSQLI类、MYSQL_STMT类和MYSQLI_RESULT类。预处理主要是利用MYSQL_STMT类来完成的。

预处理是一种重要的防止sql注入的手段，对提高网站安全性有重要意义。

预处理是创建sql语句模板并发送到数据库预留的值使用参数"?"标记，也就是我们所说的防止sql注入方法中的第二种，使用参数的sql。

大概的步骤如下：

1.使用参数'?'代替变量。

2.获得$mysqli_stmt对象，对sql语句进行预处理。

3.参数绑定bind_param()。

4.执行sql语句execute()。

5.关闭$mysqli_stmt对象。

6.关闭数据库连接。

具体代码如下：

<?php

//参数化的sql
//使用参数'?'代替变量
$sql = "select * from `user` where user = ? AND pwd = ?";
//获得$mysqli_stmt对象，对sql语句进行预处理
if ($stmt = $conn -> prepare($sql)) {
	//参数绑定bind_param()
	$stmt -> bind_param("ss",$user,$pwd);

	//执行sql语句execute()
	$stmt -> execute();
	$stmt -> store_result();
	if($stmt -> num_rows == 0){
		show_error('输入的用户名或密码错误');
	}
	//关闭$mysqli_stmt对象
	$stmt -> close();
}
//关闭数据库连接
$conn -> close();

?>

bind_param("ss",$user,$pwd);

bind_param()这个函数主要是参数绑定来防止SQL注入攻击。

其中，第一个参数是表明变量的类型，有i(int)整型，d(double)双精度类型，s(string)字符串类型和b(blob)二进制类型。第二和三个参数即是变量。

execute()--负责执行准备的查询。

store_result--转换上一次返回的结果集。

在该调用期间，将当前绑定的参数标记符的值发送到服务器，服务器用新提供的数据替换标记符。