防止 PHP 中的 SQL 注入攻击

Question

我想防止 SQL 对这段 PHP 代码进行攻击（这只是课堂练习）。 这可以通过将@mail设置为类似'); DROP TABLE PURCHASE; --来轻松利用。 '); DROP TABLE PURCHASE; --

$db = new SQLite3 ($db_name);

$sql = sprintf ("INSERT INTO PURCHASE (quantity, name, password, mail) 
                 VALUES ('%s', '%s', '%s', '%s')\n",
                 $Quantity, $Name, $Password, $Mail );

echo $sql;
if (!$db->exec ($sql)) {
    throw new Exception($db->lastErrorMsg());
}

我试图通过传递这样的参数来防止这种情况，但我得到500 Internal Server Error

$db = new SQLite3 ($db_name);

$sql = $db->prepare("INSERT INTO PURCHASE(quantity, name, password, mail)
            VALUES (:Quantity, :Name, :Password, :Mail)");

$sql->bindValue(':Quantity', $Quantity, SQLITE3_TEXT);
$sql->bindValue(':Name', $Name, SQLITE3_TEXT);
$sql->bindValue(':Password', $Password, SQLITE3_TEXT);
$sql->bindValue(':Mail', $Mail, SQLITE3_TEXT);

echo $sql;
if (!$db->exec ($sql)) {
    throw new Exception($db->lastErrorMsg());
}

我怎样才能解决这个问题？

Answer 1

SQLite3::exec用于执行查询字符串，而不是准备好的语句。 您需要改用SQLite3Stmt::execute 。 改变：

if (!$db->exec ($sql)) {
    throw new Exception($db->lastErrorMsg());
}

至

if (!$sql->execute()) {
    throw new Exception($db->lastErrorMsg());
}

请注意，您不能echo $sql ，因为它是 object，而不是简单类型。 如果您想查看SQLite3Stmt object 的外观，您需要print_r($sql)或var_dump($sql) 。