web开发SQL注入防范-预处理篇 sql注入是web应用攻击吗

开发中，对于程序的安全性考虑，SQL注入是避免不了需要注意的。

什么是sql注入攻击？

Sql注入攻击是指创建一个在语法上无效的查询，从而在得出出错消息中呈现关于脚本或数据库的某些信息。对于注入攻击的预防其实很简单。

● 查询条件尽量使用数组方式，这是更为安全的方式；

● 如果不得已必须使用字符串查询条件，使用预处理机制；

● 使用自动验证和自动完成机制进行针对应用的自定义过滤；

● 如果环境允许，尽量使用PDO方式，并使用参数绑定。

下面叙述下预处理方法：

1.MYSQL预处理语句

像这种查询语句，整个查询（包括sql语法和具体的值）都会作为一个长字符串发送到mysql，然后mysql分析并且执行它。若使用预处理语句，sql语法首先被发送到mysql解析，确保他在语法上是有效的，然后单独发送特定的值。Mysql使用这些值进行组合查询，然后执行它。以上语句用预处理语句写应该是这样的。

2.PDO预处理语句

3.Mysql预处理之面向过程

像这种查询语句，整个查询（包括sql语法和具体的值）都会作为一个长字符串发送到mysql，然后mysql分析并且执行它。若使用预处理语句，sql语法首先被发送到mysql解析，确保他在语法上是有效的，然后单独发送特定的值。Mysql使用这些值进行组合查询，然后执行它。以上语句用预处理语句写应该是这样的。

mysql预处理语句总体过程：

1 . 使用 mysqli 中的 prepare()预置语句, 执行成功时返回语句对象，若出错则返回 false

2 .使用bind_param语句绑定参数。即将在预处理语句中使用占位符号问号（?）表示的各有关参数，绑定到一些 PHP 变量上，一定要注意它们的先后顺序是否正确。这样就可以将需要传递给 SQL 语句的参数传递到 MySQL 服务器端，并等待执行。

其中，参数的类型有以下四种：

i ：int 整型

d：Double 型

s ：String 型

b ：二进制数据类型（BLOB、二进制字节串） 文件、图片等

3.执行预准备语句

4.对运行结果做相关处理

如果语句是update,delete,insert，可以通过使用mysqli_stmt_affected_rows()函数确定受影响的行的总数。如果执行的是select,结果集可以通过mysqli_stmt_tetch()系列函数使用。

mysql预处理语句实例：

1.insert语句

2.update语句

3.delete语句

以上，insert,update,delete语句在使用的时候，几乎相同。这是因为我们希望知道的就是语句是否执行成功，而mysqli_stmt_affected_rows()函数可以返回受影响的行的总数。具体受影响的行数与where条件有关，一般条件下，不为0即代表执行成功。

4.select语句

1).store_result()方法：取回所有查询结果，成功时返回 TRUE， 或者在失败时返回 false。

store_result()方法可以把MySQL 服务器上的所有结果一次全部传回到 PHP 程序中。这样做不仅更有效率，而且能减轻服务器的负担。store_result()方法是可选的，除了读取数据不改变任何东西。

2).affected_rows/num_rows 属性：获取查询结果的记录数 ，如果获取 SELECT 语句查找到了多少条记录，可以从 mysqli_stmt 对象中的 affected_rows/num_rows 属性中检索出来。但是，这个属性只有在提前执行过 store_result()方法，将全部查询结果传回到 PHP 程 序中的情况下才可以使用 。

3).绑定结果集 bind_result（）

默认情况下，SELECT 查询结果将留在 MySQL 服务器上，等待 fetch()方法把记录逐条取回 到 PHP 程序中，bind_result()将结果集的参数表绑定到自定义变量上.该绑定语句必须放在执行 mysqli_stmt_execute()之后，mysqli_stmt_fetch()之前。

4).fetch()：从 mysqli_stmt_bind_result()绑定的变量中提取结果，如果成功地读入下一条记录 fetch()方法返回 true，否则返回 ，或者已经读完所有 的结果记录返回 FALSE。