关于PHP预处理查询的详细解析来了

本文是关于PHP的知识解析,一起聊聊关于PHP预处理查询的相关知识,什么是预处理语句?PHP的预处理查询是如何防止SQL注入的?一起来看一下。


	 关于PHP预处理查询的详细解析来了


关于PHP预处理查询的详细解析来了


预处理语句是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句的两大好处如下:


1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析 / 编译 / 优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。


2、提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生 SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。


PDO 的特性在于驱动程序不支持预处理的时候,PDO 将模拟处理,此时的预处理-参数化查询过程在 PDO 的模拟器中完成。PDO 模拟器根据 DSN 中指定的字符集对输入参数进行本地转义,然后拼接成完整的 SQL 语句,发送给 MySQL 服务端。


所以,PDO 模拟器能否正确的转义输入参数,是拦截 SQL 注入的关键。小于 5.3.6 的 PHP 版本,DSN是默认忽略 charset 参数的。这时如果使用 PDO 的本地转义,仍然可能导致 SQL 注入。


因此,像 Laravel 框架底层会直接设置 PDO::ATTR_EMULATE_PREPARES=false,来确保 SQL 语句和参数值在被发送到 MySQL 服务器之前不会被 PHP 解析。


PHP 的实现


// 查询
$calories = 150;
$colour = 'red';  
$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour');  
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);  
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);  
$sth->execute();

// 插入,修改,删除
$preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStmt->execute(array(':column' => $unsafeValue));


Laravel 的底层实现


// 查询的实现
public function select($query, $bindings = [], $useReadPdo = true)
{
    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {
        if ($this->pretending()) {
                return [];
        }
        $statement = $this->prepared(
                $this->getPdoForSelect($useReadPdo)->prepare($query)
        );
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        return $statement->fetchAll();
    });
}
// 修改删除的实现
public function affectingStatement($query, $bindings = [])
{
    return $this->run($query, $bindings, function ($query, $bindings) {
        if ($this->pretending()) {
                return 0;
        }
        $statement = $this->getPdo()->prepare($query);
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        $this->recordsHaveBeenModified(
                ($count = $statement->rowCount()) > 0
        );
        return $count;
    });
}


关于PHP预处理查询的详细解析到这里就结束了,翼速应用平台内有更多相关资讯,欢迎查阅!


我来说两句

0 条评论

推荐阅读

  • 响应式布局CSS媒体查询设备像素比介绍

    构建响应式网站布局最常见的是流体网格,灵活调整大小的站点布局技术,确保用户在使用的幕上获得完整的体验。响应式设计如何展示富媒体图像,可以通过以下几种方法。

    admin
  • 提升网站的性能快速加载的实用技巧

    网站速度很重要,快速加载的网站会带来更好的用户体验、更高的转化率、更多的参与度,而且在搜索引擎排名中也扮演重要角色,做SEO,网站硬件是起跑线,如果输在了起跑线,又怎么跟同行竞争。有许多方法可提升网站的性能,有一些技巧可以避免踩坑。

    admin
  • 织梦CMS TAG页找不到标签和实现彩色标签解决方法

    织梦cms是我们常见的网站程序系统的一款,在TAG标签中常常遇到的问题也很多。当我们点击 tags.php 页的某个标签的时候,有时会提示:“系统无此标签,可 能已经移除!” 但是我们检查程序后台,以及前台显示页面。这个标签确实存在,如果解决这个问题那?

    admin
  • HTML关于fieldset标签主要的作用

    在前端开发html页面中常用的标签很多,今天为大家带来的是关于HTML中fieldset标签主要的作用说明,根据技术分析HTML

    admin

精选专题