資訊專欄INFORMATION COLUMN
摘要:具體參考基于擴(kuò)展實(shí)現(xiàn)真正的數(shù)據(jù)庫連接池方式三加上參考文檔參數(shù)化查詢?yōu)槭裁茨軌蚍乐棺⑷?/p>
pdo防sql注入原理
PdoTest.php
class PdoTest()
{
protected $db;
protected $user;
protected $pass;
public function __construct($user = "root", $pass = 123456)
{
$this->user = $user;
$this->pass = $pass;
$this->db = new PDO("mysql:host=localhost;dbname=test", $this->user, $this->pass);
}
function test()
{
//$userName = "tomener" or 1=1;--";
$userName = "tomener";
$userName = isset($_GET["userName"]) ? trim($_GET["userName"]) : $userName;
echo "
" . $userName . "
";
// 方式一
$sql = "select * from user where userName = ? and status = ?";
$stmt = $this->db->prepare($sql);
$stmt->execute(array($userName, 1));
$user_info = $stmt->fetch(PDO::FETCH_ASSOC);
echo "";var_dump($user_info);
// 方式二
$sql = "select * from user where userName = "". $userName ."" and status = 1"
$stmt =$this->db->prepare($sql);
$stmt->execute();
$user_info = $stmt->fetchAll(PDO::FETCH_ASSOC);
echo "";var_dump($user_info);
}
}
$PdoTest = new PdoTest();
$PdoTest->test();
訪問:
http://localhost/PdoTest.php
狀態(tài):方式一、方式二都正常
訪問:
http://localhost/PdoTest.php?userName=tomener" or 1=1;--
http://localhost/PdoTest.php?userName=tomener%27%20or%201=1;--
狀態(tài):方式一返回false,方式二返回user表所有數(shù)據(jù)
問題來了,為什么pdo預(yù)處理能正確處理sql注入呢?
mysql預(yù)處理語句,mysql支持預(yù)處理,sql已經(jīng)預(yù)編譯好了,坑已經(jīng)挖好了,來一個填一個,不會改變原本sql的意思,那么后面的or 1=1;--根本不會被mysql編譯成執(zhí)行計(jì)劃,被當(dāng)作普通的字符串處理,沒任何意義。
通俗的理解,就像是填空題,你只能在括號里面填寫內(nèi)容,并且這句話是預(yù)知的,如果這句話的意思都變了,那么就出現(xiàn)異常了,當(dāng)然這樣的理解不準(zhǔn)確
獲取姓名是()并且狀態(tài)為()的用戶,
如果是sql注入,那么就變成,
獲取姓名是()或者所有用戶
顯然,這和我們預(yù)先設(shè)定的意思是不一樣的
php連接池
方式一:
程序使用持久連接(PDO::ATTR_PERSISTENT)訪問數(shù)據(jù)庫,則一個PHP-FPM工作進(jìn)程對應(yīng)一個到MySQL的長連接.
請求結(jié)束后,PHP不會釋放到MySQL的連接,以便下次重用,這個過程對程序是透明的.
這可以看作是PHP-FPM維護(hù)的"數(shù)據(jù)庫連接池".
假如你的服務(wù)器有12個核心(超線程),你開啟24個PHP-FPM工作進(jìn)程.需要注意的是,PHP-FPM的進(jìn)程數(shù)pm.max_children不要多于MySQL的最大連接數(shù)max_connections(默認(rèn)151)
"127.0.0.1",
"db_username" => "root",
"db_password" => "",
"db_name" => "mybase",
"db_port" => 3306,
"db_pconnect" => true
);
$dsn = "mysql:dbname=$app[db_name];host=$app[db_host];port=$app[db_port];charset=utf8";
$db = new PDO($dsn, $app["db_username"], $app["db_password"], array(
PDO::ATTR_PERSISTENT => $app["db_pconnect"],
PDO::ATTR_EMULATE_PREPARES => false,
PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"
));
方式二:可以使用swoole擴(kuò)展來實(shí)現(xiàn)。
具體參考: 基于swoole擴(kuò)展實(shí)現(xiàn)真正的PHP數(shù)據(jù)庫連接池
方式三:PDO加上ODBC
參考文檔:參數(shù)化查詢?yōu)槭裁茨軌蚍乐筍QL注入
