PDO通过预处理语句和参数绑定防止SQL注入,先发送SQL骨架给数据库编译,再单独发送参数值,确保用户输入被当作纯数据处理,不会拼接执行。
PHP中利用PDO(PHP Data Objects)来防止SQL注入,核心策略就是采用预处理语句(Prepared Statements)和参数绑定。简单讲,就是把SQL查询的结构和要传入的数据分开处理,数据库引擎在执行时,会把所有参数都当作纯粹的数据值来对待,而不是SQL代码的一部分,从根源上杜绝了注入的可能。
解决方案: 说实话,PDO在防SQL注入这块,简直是PHP开发者手里的“金钟罩”。它不像我们以前那样,把用户输入的数据直接拼接到SQL字符串里。那种老办法,只要用户稍微“坏心眼”一点,输入一些特殊字符,比如单引号、分号,再加个
OR 1=1 --之类的,你的数据库大门就可能敞开,数据安全瞬间凉凉。
PDO的解决之道在于它的预处理机制。当你写下一段SQL,比如
SELECT * FROM users WHERE username = :username AND password = :password,然后调用
$pdo->prepare()方法时,PDO会先把这个查询的“骨架”(也就是SQL语句的结构)发送给数据库服务器。服务器收到后,会编译、优化这个骨架,但此时它并不知道
username和
password具体是什么。
接着,当你调用
$statement->execute()并传入一个包含实际用户数据的数组时,比如
[':username' => $inputUsername, ':password' => $inputPassword],PDO会将这些数据作为纯粹的“参数”单独发送给数据库。数据库引擎会把这些参数严格地当作数据值来处理,绝不会把它们当作SQL命令的一部分来解析执行。这就好比你给快递公司寄包裹,包裹里是你的物品(数据),外面是包裹单(SQL骨架),两者是分离的,快递员只看包裹单上的地址,不会去打开包裹里的东西来判断是不是地址的一部分。
PDO::ERRMODE_EXCEPTION, // 错误模式:抛出异常
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, // 默认获取模式:关联数组
PDO::ATTR_EMULATE_PREPARES => false, // 禁用模拟预处理,推荐使用原生预处理
]);
// 用户输入(假设这是从表单获取的)
$inputUsername = $_POST['username'] ?? '';
$inputPassword = $_POST['password'] ?? '';
// 使用命名占位符的预处理语句
$stmt = $pdo->prepare("SELECT id, username FROM users WHERE username = :username AND password = :password");
// 绑定参数并执行
$stmt->execute([
': 
