我们如何知道 PDO 正在逃避 SQL 注入？

Question

我是 PDO 库的新手。我正在使用 mysql 作为我的数据库的开发环境。我可以在使用“？”时使用准备和执行功能来运行我的查询。使用命名占位符时的占位符和 bindParam 方法（例如：“:column”）。

在此之后，我尝试查看 PDO 是否通过添加任何引号来像 mysql_real_escape_string 那样对查询进行任何类型的转义。我正在尝试查看查询的外观，但我得到的只是已传递到 prepare 语句中的语句，而不是将要执行的查询。

我尝试对 $result->execute() 和 $result->fetch() 进行 var_dump，但 execute 语句为我提供了带有占位符的 prepare 语句的 sql，而 fetch 语句为我提供了该查询的结果。

有没有办法查看将要运行的查找查询，或者至少在运行查询之前查看参数的外观？？

我希望我的问题很清楚。 :|

Answer 1

直截了当。

PDO 有两种运行准备好的语句的模式：

1. 本机模式。查询和数据发送到数据库se-pa-ra-te-ly。这意味着数据永远不会添加到查询中。因此，不能造成任何伤害。曾经。查询按原样发送到数据库，带有 ? 标记（但没有被 PDO 替换为 ?s 的命名占位符）
2. 兼容模式。 PDO 通过用绑定变量替换占位符来进行旧式查询，这取决于变量名。字符串被引用/转义，其余的被转换为它的类型。

这两种方法都非常安全。

真正的危险始于你有一个变量标识符...

Answer 2

启用一般查询日志，并在您运行简单语句时观察对服务器实际执行的查询 - 执行一些插入操作，例如，使用包含嵌入式引号或 nuls 的字符串。

Answer 3

当你写这样的东西时：

$stmt = $pdo->prepare('SELECT * FROM tbl_name WHERE col_name = :col_name;');
$stmt->bindValue('col_name', 'some \' value');
$stmt->execute();

实际查询是...SELECT * FROM tbl_name WHERE col_name = :col_name;。这称为准备好的语句。首先，您向数据库发送查询，然后发送查询参数。 PDO 不合并查询和参数。

您可能认为PDOStatement::bindValue() 做了类似的事情：

public function bindValue($placeholer, $value, $valueType = PDO::PARAM_STR) {
    $this->query = str_replace($placeholder, $this->quote($value, $valueType), $this->query);
}

但它没有。

它做了更多类似的事情：

public function execute() {
    try {
        $this->sendQueryToDatabase($this->query);

        // Query is valid
        $this->sendParametersToDatabase($this->parameters);

        return $this->fetchResultSet();
    } catch (... $e) {
        // Query is invalid (eg. syntax error)
        throw ...;
    }
}

Read more about Prepared Statements

Answer 4

prepare 语句由 mysql 处理，所以 pdo 不要逃避请求， pdo 发送请求并在参数“之后”