YII2框架学习 安全篇（四） sql注入攻击和防范

先看百度百科的介绍，SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。其实防范在基础篇数据库操作讲过一点，今天好好的专门讲一讲。

来看一个例子：

select * from articles where score<60 and title like '%' or 1=1 --%'

这个搜索语句将无视搜索条件，因为or 1=1 是永远成立的。怎么应对呢，两种方法，第一：屏蔽关键字，or之类的，但是这种方法并不是很好的方式，如果用户搜索内容本来就有or的话就不行了。第二种方式是对搜索内容加\转义，但是在某些情况下会被绕过转义。php的函数addslashes()方法可以实现转义，在搜索内容前面加上chr(0xdf)就可以绕开的。

普通的方法都不靠谱，来看看YII框架是如何防止sql注入的。其实在基础篇数据库操作讲过，通过使用PDO占位符的方式，比如：where('name=:name',[':name'=>'zhangsan'])。在查询过程中，实际上是两条指令过去的，彻底的把查询语句和内容分开，可以说是没有漏洞的方法。而PDO的实现过程，我转载了一篇写得比较好的文章，有兴趣的可以看看。

另外 PHP防SQL注入不要再用addslashes和mysql_real_escape_string了   http://blog.csdn.net/hornedreaper1988/article/details/43520257 也值得一看