浅谈PHP防注入

某年某月某日某时某分某秒，某人在阅读某PHP程序代码时，发现某处将输入“直接”带入查询语句，当他兴冲冲地抄起阿D时，却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时，也没发现过滤语句，这是怎么回事呢？实际上，这个程序用了预备查询技术。预备查询技术为何方神圣，且听危险漫步给各位慢慢道来。

预备查询技术实际上是将不完整的SQL语句（如：select * from xxx where id=?“？”是占位符）预先编译好，驻留于内存中，使用时不断将数据代入占位符并执行的一种技术。使用这种技术本意是想快速运行多个格式相同的SQL语句，但由于语句已经编译好，所以代人数据时就不存在数据与语句相混淆的情况，自然也就可以起到防注入的作用。预备查询技术是新版MySQLi库的亮点之一，在介绍预备查询技术之前，先简单说说MySQLi。

一、运行环境

1、MySQLi库可以链接4.1（含）以上版本的Mysql服务器。

2、MySQLi库为PHP5.0（含）以上版本自带。

二、安装方式

1、windows编辑php.ini，找到：；extension=php_mysqli,dⅡ这一行，去掉分号，保存，重启apache。

2、（类）unix如：（包括但不限于）mac os x，linux, unix等

重新编译php，加上--with-mysqli=/usr/local/mysql/bin/mysql_config

三、改进

1.mysqli可以让程序员以面向对象的方式编写代码，为了做到这一点，可怜的php开发者几乎重写所有代码，在此向他们致敬。

2.mysqli库去掉了一些无用的函数，如：不支持持久连接等。

可以看出，mysqli作出了重大的改进，方便了程序员，下面开始介绍预备查询技术。预备查询技术需要七个环节，涉及六个函数，我们一一为大家讲解。

首先先链接MySQL服务器,然后进行预备查询。

1、预备

函数原型：mysqli_stmt
mysqli::prepare(string $query)

注意：$query中要含有占位符，占位符可以占数字，文本等类型的数据，但是不能占表名，列名，数据库名等。其中，当占位符占文本时，不要用引号（例如：应该为where username=?，而不是where username_'?'）。根据刚才的介绍，此时就已经编译语句了，自然这里也会有语法检查。 2、绑定变量

函数原型：bool

mysqli_stmt::bind_param（string $types, mixed &$varl[, mixed&$…]）注意：参数一为文本型，其中定义了各个占位符的类型，i是整型，d是浮点型，s是字符串型，b是blob（例如，预备查询语句中有四个占位符，类型分别是字符串型、字符串型、字符串型、整型，则该参数为："sssi"）。剩下的参数按顺序依次对应预备查询语句中的占位符，变量不需要提前定义。

3、赋值

为第二步中的变量赋值

4、执行

函数原型：bool mysqli_stmt：：execute（void）

5、绑定结果

函数原型：bool mysqli_stmt::bind_result (mixed &$varl[，mied&$…])

注意：参数要一一与返回的字段对应，对于无返回数据的查询，如delete，insert等，无需此步和下一步。

6、处理数据

函数原型：bool mysqli_stmt::fetch(void)

注意：此函数无需参数，其功能是将指针处的数据赋给上一步中绑定的变量，并将指针下移

一行，如果指针处没有数据可供返回，函数返回false。由于数据可能有很多条，就得需要用循环处理。

7、关闭查询

函数原型：bool mysqli_stmt::close(void)

还需要关注的一点是，如果想执行多条语句，可以重复3-6步，即重新赋值，再execute一遍。

最后断开

函数原型：bool mysqli::close(void)

以上就是预备查询的基本理论，理论还得靠实践来检验，下面对两份程序进行测试，首先介绍测试环境：

B:Safari 5.0(6533.16)on MAC OS X10.6.4

S:Apache/2.2.15 PHP/5.3.2 mysql-5.5-m2-osx10.6-x86_64

MAC OS X10.6.4

其次，安装测试程序。这个程序是我自己写的，意在说明意思，做得比较简陋，凑合看下。安装方法见光盘。下面进行测试，先测试第一套新闻系统。从源代码看出，程序将变量直接带入SQL语句，造成注入，提交返回空白页面。

提交：http://localhost/newsl/news.php?id=1 and 1=2 union select 1,user,pass fromadmin,返回后台地址。

用得到的用户名与密码登录后台
(http://localhost/news1/admin)成功。

然后测试第二套系统。从源代码看出，程序使用了预备查询技术，而且没有过滤，提交注入语句的非数字部分均被忽略（是因为绑定变量是类型定义为数字的缘故）所以无法注入。通过测试可以看出，预备查询可以防范注入攻击。这样的技术应当引起程序员的重视！

以上资源来源于网络，如有侵犯您的权益请联系删除！