PDO 准备好的语句如何帮助防止 SQL 易受攻击的语句？

Question

我很困惑，或者更确切地说，我对 pdo 准备好的语句感到非常困惑。我知道准备好的语句是保护数据免受黑客攻击的最佳方式。

发件人：How can prepared statements protect from SQL injection attacks?

我们首先将程序发送到服务器

$db->prepare("SELECT * FROM users where id=?");数据在哪里 替换为一些称为“占位符”的变量。

请注意，发送到服务器的查询是相同的，没有任何 里面的数据！然后我们用第二个请求发送数据， 与查询本身完全分离：

$db->执行($data);

查询-

$query=$db->prepare("SELECT * FROM USERS WHERE username=?");
$query->execute(array($tex));
$tex=blah; DROP TABLE users;--

然后它会像 - SELECT * FROM USERS WHERE username=blah; DROP TABLE 用户；--

prepare 语句将如何帮助我处理上面的这个例子？

如果这个问题理解模糊，我真的很抱歉。任何帮助，将不胜感激。提前致谢。

Answer 1

准备好的语句处理程序将确保绑定值始终用作有效的 SQL 值/文字（即 SQL 字符串或数字）并且从不用作'原始 SQL 文本'¹.

这就是为什么占位符值不能用作列名或表名等标识符或充当其他 SQL 关键字的原因； 不能生成假设的易受攻击的查询。相反，它被视为如下：

WHERE username='blah; DROP TABLE users;--'
            --^ placeholder ensures valid SQL string value is used
            --  (note automatic/implicit addition of SQL quotes)

甚至在绑定“更棘手”的数据时：

$tex = "blah'; DROP TABLE users;--";  // embedded SQL quote character

它仍然是安全的：

WHERE username='blah''; DROP TABLE users;--'
            --^ placeholder STILL ensures valid SQL string value is used

因此，在使用占位符时，不可能生成易受攻击的 SQL（以这种方式）。

对于SQL Injection，查询的“形状”（包括关键字和标识符，但排除值）本身必须由输入更改。

---

¹ 从技术上讲，占位符值也可以通过单独的 数据通道（取决于适配器/驱动程序）发送，因此甚至可能不会出现在原始 SQL 查询本身中。

但是，考虑占位符为何安全或它们如何“工作”的简单方法是：

当使用占位符时，适配器确保“sql 真正安全转义”的等价物和适用的引用总是用于每个绑定的文本值 - 因此不可能意外忘记。