PHP PDO是如何防止SQL注入的?

SQL注入是一个常见的问题,当一个新的或没有经验的开发人员编写的代码很容易受到攻击。PHP是最容易访问的编程语言之一,但是这常常导致不安全的代码或不好的实践。

PDO (PHP数据对象)是一个数据库抽象层,它允许您快速而安全地处理许多不同类型的数据库。这使您能够使用相同的代码支持多种类型的数据库,并通过使用准备好的语句保护您免受SQL注入。

数据库抽象层通过API提供所有功能来隐藏与数据库的交互。所有这一切基本上意味着,您通过一个单独的层与数据库通信,该层处理所有的复杂性和处理。

PHP手册上说得很清楚:

准备好的语句和存储过程
许多更成熟的数据库支持预处理语句的概念。他们是什么?它们可以被看作是应用程序想要运行的SQL的一种已编译的模板,可以使用变量参数对其进行定制。书面陈述有两个主要好处:

查询只需要解析(或准备)一次,但是可以使用相同或不同的参数执行多次。准备好查询后,数据库将分析、编译和优化执行查询的计划。对于复杂的查询,如果需要多次使用不同的参数重复相同的查询,那么这个过程可能会占用大量的时间,从而显著降低应用程序的运行速度。通过使用准备好的语句,应用程序可以避免重复分析/编译/优化循环。这意味着准备好的语句使用更少的资源,因此运行速度更快

准备好的语句的参数不需要加引号;驱动程序自动处理这个。如果应用程序只使用准备好的语句,开发人员可以确保不会发生SQL注入(但是,如果查询的其他部分是用未转义的输入构建的,那么仍然可以进行SQL注入)。

<?php

$pdo = new PDO("mysql:host=192.168.0.88;dbname=test;","root");

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$st = $pdo->prepare("select * from test where id =? and name = ?");

$id = 100;

$name = 'jack';
$st->bindParam(1,$id);

$st->bindParam(2,$name);

$st->execute();

$st->fetchAll();

?>

参考资料:
https://www.iteye.com/blog/zhangxugg-163-com-1835721

PHP的Zend Opcache配置
tcpdump工具