编写SQL时PHP开发人员所犯的5个常见错误

Posted 2020-09-28

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了编写SQL时PHP开发人员所犯的5个常见错误相关的知识，希望对你有一定的参考价值。

本文和大家分享的主要是编写SQL时php开发人员常犯的一些错误，一起来看看吧，希望对大家学习php有所帮助。

杜绝使用mysql API的旧版本

使用PHP开发时有好几种方法可以连接MySQL数据库。最常见的是MySQL API、MySQLi API和PDO API(PHP数据对象)。与MySQL API旧版本相比，后面两种方法支持更多的功能，并且更加安全。如果你使用的是旧的“mysql_”函数，那么你应该马上放下手上的工作，然后开始学习新的PDO API。这些旧的 mysql函数被弃用 ，并且PHP 7.x以后的版本也不会再支持了。

糟糕的实践：

<?php

$con = mysql_connect("localhost", "root", "mypass") or

die("Could not connect: " . mysql_error());

mysql_select_db("tutorials");

$result = mysql_query("select * from tutorials"); echo "

Here is a list of the topics:

"; while ($row = mysql_fetch_array($result)) {

echo $row[’name’]."
";

}

mysql_close($con); ?>

优秀的实践：

require_once(’includes/conn.inc.php’);

$sql= "SELECT name, age FROM employees WHERE company_id = 10";

$stmt = $pdo->query($sql);

$row = $stmt->fetch(PDO::FETCH_ASSOC);echo $row[’name’];echo $row[age];

不要使用转义函数处理客户端输入的内容

使用 mysql_real_escape_string 对查询变量进行手工转义是不安全的，原因有两个:

如果经常使用这个方法，你难免会弄错一次。只要有一个漏洞，黑客就可以将代码注入到SQL查询中。

在使用字符串变量时，你应该记住使用引号，很多人都没有这个意识。

mysql_real_escape_string 的替换者就是 prepared statements (参见下面的更多信息)。

不要假设预处理在PHP中总是安全的

Prepared statements预处理的目标是将查询与数据分离，以便将数据正确地插入到查询的参数中，而不需要任何操作选项。在大多数情况下，预处理的语句应该是非常安全的，它被认为是为查询注入用户输入参数的最佳实践技巧。

代码样例：

require_once(’includes/conn.inc.php’);

$sql= "SELECT * FROM employees";

$stmt = $pdo->prepare($sql);

$stmt->execute();

$result = $stmt->fetchAll();foreach($result as $row){

echo "

．

{$row[’employeeName’]}

．

}

那么，预处理在PHP中有什么不足呢?在将用户输入的参数值注入到查询语句这种情况下，就会有问题，因为预处理不支持这种注入。例如，MySQL PDO不支持在LIMIT情况中注入参数(使用占位符“?”)。此外，用户输入的内容不能在查询中插入表名或列名。如果你在这些情况下使用预处理，你应该手动地对数据进行人工处理，或者比这更好的方式就是找一个已经测试过的库，自动替你去做这些事。

不要假设ORM框架不会受到SQL注入攻击

使用ORM框架是非常棒的(尽管我敢肯定)。虽然这么说，这并不意味着它不会出现SQL注入攻击的情况。的确，在一个ORM生成的查询中想注入代码是很困难的，但是如果程序员不小心犯了个错误，这将会打开一个漏洞。在大多数情况下，在不使用预处理的情况下，将用户输入的值连接到ORM查询时，被注入的SQL语句就会执行。是的，像Doctrine这样的ORM框架提供了使用预处理的功能，所以使用它。从不将字符串连接到查询，无论是ORM查询还是原始SQL查询。