PHP 之防御 sql 注入攻击的方式

长期以来， web 的安全性存在着巨大的争议与挑战。其中， sql 注入就是一种常见的一种攻击方法，开发人员普遍的做法就是不停的过滤，转义参数，可是我们 php 大法天生弱类型的机制，总是让黑客有机可乘，绕过防御与防御总是在明争暗斗。

兄弟连（ www.lampbrother.net ） PHP 大牛说过一句话，在一个程序中， 60%的代码都应该是在进行各种防御。

其实，现在来看，防御 sql 注入其实并不需要进行各种参数过滤，以下将开启干货模式！

PHP5.x 开始引入了一种新的 mysql 操作方式-----mysqli ，在 php 中也有一项相应的操作方式叫做 PHP 预处理。采用面向对象的方式来进行参数化绑定操作，由于对数据库操作的模式驱动不同，因此可以非常有效的防御 sql 注入。

首先，我们先来看一段代码例子 php 代码：

$search_action ->bind_param("s",$keywords);//绑定参数，第一个参数表示为上面预处理的的占位符的数量和每一个参数的数据类型， s 为字符串， i 为整形， d 为双精度小数，有几个参数，就写几个 s 或 d 或 i ，比如说 iiii,ssss,sidi 这样的。然后后面就是有几个参数就写几个要绑定的变量，比如 bind_param('sss',$username,$password,$code); $search_action ->bind_result($content);//将结果绑定在相对应的变量上，比如你 select 了 username,password,你就可以写 bind_result($usernmae,$password); $search_action ->execute();//执行 sql 操作 while($search_action ->fetch()){ echo $content.'
'; } $search_action ->free_result();//释放内存 $search_action ->close();//结束这个实例化 ?> 上面是 php 预处理中一个非常简单的例子，它内置的其他函数能很方便我们的开发速度，那么看到这里，很多人可能还是不明白，有人可能想问，你这个绑定参数是不是还是在拼凑 sql 语句？如果是拼凑语句，那还不是会产生注入吗？

这就要从他的操作原理来解释了，其实它在 prepare 操作中，就已经在数据库中，执行了语句，以后的绑定参数和执行，只不过是再传递数据进去而已，所以根本不会和 sql 语句拼接，也就自然不会将危险代码执行。因此，在这种模式下 sql 注入就能很有效的被防御了。

在 php 预处理的类中有很多很好用的操作，具体的兄弟连将会在以后的文章中为大家总结一些常用的 php 预处理的开发语句。