使用PDO查詢mysql避免SQL注入

使用傳統的 mysql_connect 、mysql_query方法來鏈接查詢數據庫時，若是過濾不嚴緊，就有SQL注入風險。雖然能夠用mysql_real_escape_string()函數過濾用戶提交的值，可是也有缺陷。而使用PHP的PDO擴展的 prepare 方法，就能夠避免sql injection 風險。

PDO(PHP Data Object) 是PHP5新加入的一個重大功能，由於在PHP 5之前的php4/php3都是一堆的數據庫擴展來跟各個數據庫的鏈接和處理，如 php_mysql.dll。 PHP6中也將默認使用PDO的方式鏈接，mysql擴展將被做爲輔助 。官方地址：http://php.net/manual/en/book.pdo.php

1. PDO配置

使用PDO擴展以前，先要啓用這個擴展，php.ini中，去掉"extension=php_pdo.dll"前面的";"號，若要鏈接數據庫，還須要去掉與PDO相關的數據庫擴展前面的";"號（通常用的是php_pdo_mysql.dll），而後重啓Apache服務器便可。

extension=php_pdo.dll 
extension=php_pdo_mysql.dll

2. PDO鏈接mysql數據庫

$dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password");

默認不是長鏈接，若要使用數據庫長鏈接，能夠在最後加以下參數：

$dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password","array(PDO::ATTR_PERSISTENT => true) "); 
$dbh = null; //(釋放)

3. PDO設置屬性

PDO有三種錯誤處理方式：

PDO::ERrmODE_SILENT不顯示錯誤信息，只設置錯誤碼

PDO::ERrmODE_WARNING顯示警告錯

PDO::ERrmODE_EXCEPTION拋出異常

可經過如下語句來設置錯誤處理方式爲拋出異常

$db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);

由於不一樣數據庫對返回的字段名稱大小寫處理不一樣，因此PDO提供了PDO::ATTR_CASE設置項（包括PDO::CASE_LOWER，PDO::CASE_NATURAL，PDO::CASE_UPPER），來肯定返回的字段名稱的大小寫。

經過設置PDO::ATTR_ORACLE_NULLS類型（包括PDO::NULL_NATURAL，PDO::NULL_EmpTY_STRING，PDO::NULL_TO_STRING）來指定數據庫返回的NULL值在php中對應的數值。

4. PDO經常使用方法及其應用

PDO::query() 主要是用於有記錄結果返回的操做，特別是SELECT操做

PDO::exec() 主要是針對沒有結果集合返回的操做，如INSERT、UPDATE等操做

PDO::prepare() 主要是預處理操做，須要經過$rs->execute()來執行預處理裏面的SQL語句，這個方法能夠綁定參數，功能比較強大（防止sql注入就靠這個）

PDO::lastInsertId() 返回上次插入操做，主鍵列類型是自增的最後的自增ID 

PDOStatement::fetch() 是用來獲取一條記錄

PDOStatement::fetchAll() 是獲取全部記錄集到一個集合

PDOStatement::fetchColumn() 是獲取結果指定第一條記錄的某個字段，缺省是第一個字段

PDOStatement::rowCount() :主要是用於PDO::query()和PDO::prepare()進行DELETE、INSERT、UPDATE操做影響的結果集，對PDO::exec()方法和SELECT操做無效。

5.PDO操做MYSQL數據庫實例

<?php 
$pdo = new PDO("mysql:host=localhost;dbname=mydb","root",""); 
if($pdo -> exec("insert into mytable(name,content) values('fdipzone','123456')")){ 
echo "insert success"; 
echo $pdo -> lastinsertid(); 
} 
?>

<?php 
$pdo = new PDO("mysql:host=localhost;dbname=mydb","root",""); 
$rs = $pdo -> query("select * from table"); 
$rs->setFetchMode(PDO::FETCH_ASSOC); //關聯數組形式
//$rs->setFetchMode(PDO::FETCH_NUM); //數字索引數組形式
while($row = $rs -> fetch()){ 
    print_r($row); 
} 
?> 

<?php
foreach( $db->query( "SELECT * FROM table" ) as $row )
{
    print_r( $row );
}
?>

統計有多少行數據：

<?php
$sql="select count(*) from table";
$num = $dbh->query($sql)->fetchColumn();
?>

prepare方式：

<?php
$query = $dbh->prepare("select * from table");
if ($query->execute()) {
    while ($row = $query->fetch()) {
        print_r($row);
    }
}
?>

prepare參數化查詢：

<?php
$query = $dbh->prepare("select * from table where id = ?");
if ($query->execute(array(1000))) { 
    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
        print_r($row);
    }
}
?>

使用PDO訪問MySQL數據庫時，真正的real prepared statements 默認狀況下是不使用的。爲了解決這個問題，你必須禁用 prepared statements的仿真效果。下面是使用PDO建立連接的例子：

<?php
$dbh = new PDO('mysql:dbname=mydb;host=127.0.0.1;charset=utf8', 'root', 'pass');
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
?>

setAttribute()這一行是強制性的，它會告訴 PDO 禁用模擬預處理語句，並使用 real parepared statements 。這能夠確保SQL語句和相應的值在傳遞到mysql服務器以前是不會被PHP解析的（禁止了全部可能的惡意SQL注入攻擊）。

雖然你能夠配置文件中設置字符集的屬性(charset=utf8)，可是須要格外注意的是，老版本的 PHP（ < 5.3.6）在DSN中是忽略字符參數的。

完整的代碼使用實例：

<?php
$dbh = new PDO("mysql:host=localhost; dbname=mydb", "root", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'"); 
$sql="select * from table where username = ? and password = ?";
$query = $dbh->prepare($sql); 
$exeres = $query->execute(array($username, $pass)); 
if ($exeres) { 
    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
        print_r($row);
    }
}
$dbh = null;
?>

上面這段代碼就能夠防範sql注入。爲何呢？

當調用 prepare() 時，查詢語句已經發送給了數據庫服務器，此時只有佔位符 ? 發送過去，沒有用戶提交的數據；當調用到 execute()時，用戶提交過來的值纔會傳送給數據庫，它們是分開傳送的，二者獨立的，SQL攻擊者沒有一點機會。

可是咱們須要注意的是如下幾種狀況，PDO並不能幫助你防範SQL注入。

不能讓佔位符 ? 代替一組值，這樣只會獲取到這組數據的第一個值，如：

select * from table where userid in ( ? );

若是要用in來查找，能夠改用find_in_set()實現

$ids = '1,2,3,4,5,6';
select * from table where find_in_set(userid, ?);

不能讓佔位符代替數據表名或列名，如：

select * from table order by ?;

不能讓佔位符 ? 代替任何其餘SQL語法，如：

select extract( ? from addtime) as mytime from table;