使用PDO查詢mysql防止SQL注入

demo文件

<?php
require_once 'config.inc.php';
$dbh = new PDO(DB_DSN, DB_USER, DB_PWD);  

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果  
$dbh->exec("set names 'utf8'");   
$sql="select * from location where id = ? ";  
$query = $dbh->prepare($sql);   
$exeres = $query->execute(array(3));   
if ($exeres) {   
    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {  
        print_r($row);  
    }  
}  
$dbh = null;  
?>

---

config.inc.php

<?php
header('Content-Type:text/html;Charset=utf-8');
define('UPDIR', '/upload/'); // 上傳文件路徑
define('DB_DSN', 'mysql:host=localhost;dbname=pdotest');
define('DB_USER', 'root');
define('DB_PWD', 'root');
// 自動加載文件類
function __autoload($className) {
    require_once  ucfirst($className) .'.class.php';
}
?>

---

防範原理

當調用 prepare() 時，查詢語句已經發送給了數據庫服務器，此時只有佔位符 ? 發送過去，沒有用戶提交的數據；當調用到 execute()時，用戶提交過來的值纔會傳送給數據庫，它們是分開傳送的，兩者獨立的，SQL攻擊者沒有一點機會。

---

注意以下幾種情況PDO並不能防範SQL注入

1、不能讓佔位符 ? 代替一組值，這樣只會獲取到這組數據的第一個值，如：

    select * from table where userid in ( ? );  

2、不能讓佔位符代替數據表名或列名，如：

    select * from table order by ?;  

3、不能讓佔位符 ? 代替任何其他SQL語法，如：

    select extract( ? from addtime) as mytime from table;  

---

pdo推廣背景

使用傳統的 mysql_connect 、mysql_query方法來連接查詢數據庫時，如果過濾不嚴緊，就有SQL注入風險。雖然可以用mysql_real_escape_string()函數過濾用戶提交的值，但是也有缺陷。而使用PHP的PDO擴展的 prepare 方法，就可以避免sql injection 風險。

PDO(PHP Data Object) 是PHP5新加入的一個重大功能，因爲在PHP 5以前的php4/php3都是一堆的數據庫擴展來跟各個數據庫的連接和處理，如 php_mysql.dll。 PHP6中也將默認使用PDO的方式連接，MySQL擴展將被作爲輔助 。官方地址：http://php.net/manual/en/book.pdo.php

1、PDO配置
使用PDO擴展之前，先要啓用這個擴展，php.ini中，去掉”extension=php_pdo.dll”前面的”;”號，若要連接數據庫，還需要去掉與PDO相關的數據庫擴展前面的”;”號（一般用的是php_pdo_mysql.dll），然後重啓Apache服務器即可。
2、PDO連接mysql數據庫

  $dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password"); 

默認不是長連接，若要使用數據庫長連接，可以在最後加如下參數：

$dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password","array(PDO::ATTR_PERSISTENT => true) ");   
$dbh = null; //(釋放) 

3、 PDO設置屬性

PDO有三種錯誤處理方式：

PDO::ERrmODE_SILENT不顯示錯誤信息，只設置錯誤碼

PDO::ERrmODE_WARNING顯示警告錯

PDO::ERrmODE_EXCEPTION拋出異常

可通過以下語句來設置錯誤處理方式爲拋出異常

    $db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);  

因爲不同數據庫對返回的字段名稱大小寫處理不同，所以PDO提供了PDO::ATTR_CASE設置項（包括PDO::CASE_LOWER，PDO::CASE_NATURAL，PDO::CASE_UPPER），來確定返回的字段名稱的大小寫。

通過設置PDO::ATTR_ORACLE_NULLS類型（包括PDO::NULL_NATURAL，PDO::NULL_EmpTY_STRING，PDO::NULL_TO_STRING）來指定數據庫返回的NULL值在php中對應的數值。

4、 PDO常用方法及其應用

PDO::query() 主要是用於有記錄結果返回的操作，特別是SELECT操作

PDO::exec() 主要是針對沒有結果集合返回的操作，如INSERT、UPDATE等操作

PDO::prepare() 主要是預處理操作，需要通過$rs->execute()來執行預處理裏面的SQL語句，這個方法可以綁定參數，功能比較強大（防止sql注入就靠這個）

PDO::lastInsertId() 返回上次插入操作，主鍵列類型是自增的最後的自增ID

PDOStatement::fetch() 是用來獲取一條記錄

PDOStatement::fetchAll() 是獲取所有記錄集到一個集合

PDOStatement::fetchColumn() 是獲取結果指定第一條記錄的某個字段，缺省是第一個字段

PDOStatement::rowCount() :主要是用於PDO::query()和PDO::prepare()進行DELETE、INSERT、UPDATE操作影響的結果集，對PDO::exec()方法和SELECT操作無效。