php - 有人可以清楚地解释为什么mysqli_prepare()/bind_param()比real_escape_string()更好吗？

This question already has answers here:

Why is using a mysql prepared statement more secure than using the common escape functions?

(7个答案)

7年前关闭。

好吧，我还是不太明白。我一直在读，为了正确地逃避MySQL查询，您需要使用mysqli_prepare()和mysqli_bind_param()。

我尝试使用此设置，坦率地说，这有点笨拙。当我不再需要再次引用它们时，我会停留在通过引用传递变量的过程中，而完成同一任务只是更多的代码行。

我想我只是不明白两者之间的区别是什么:

<?php
$sql = new \MySQLi(...);
$result = $sql->query('
   UPDATE `table`
   SET
      `field` = "'.$sql->real_escape_string($_REQUEST[$field]).'";
');
?>

和

<?php
$sql = new \MySQLi(...);
$stmt = $sql->prepare('
   UPDATE `table`
   SET
      `field` = ?;
');
$value = $_REQUEST[$field];
$stmt->bind_param('s', $value);
$stmt->execute();
$result = $stmt->get_result();
unset($value);
?>

除了更多的代码。

我的意思是，他们是否实现了此目的，以便人们在发送查询之前不会忘记转义值？还是以某种方式更快？

还是当我打算重复使用同一查询(因为可以重用mysqli_stmt)并在其他情况下使用传统方法时，应该使用这种方法吗？

最佳答案

您正在阅读的内容，需要使用 mysqli_prepare() 和 mysqli_bind_param() 函数来“正确地转义MySQL查询”是错误的。

的确，如果您使用 mysqli_prepare() 和 mysqli_bind_param() ，则无需(也不应该)“转义”作为绑定(bind)参数提供的值。因此，从某种意义上说，您所阅读的内容有些道理。

只有在SQL文本(查询的实际文本)中包含不安全的变量时，才需要“适本地转义”变量，通常是通过将变量包装在 mysqli_real_escape_string() 函数调用中来进行。

(我们注意到，可以使用预处理语句，并且仍然在SQL文本中包含未转义的变量，而不是将变量值作为bind_parameters传递。这确实违背了使用预处理语句的目的，但是重点是，无论哪种方式，您都可以编写易受攻击的代码。

MySQL现在支持“服务器端”准备好的语句(如果在连接中启用了该选项)，并且这是对相同SQL文本重复执行的性能优化(在某些情况下)。 (这在其他数据库(如Oracle)中早就得到了支持，从那以后，使用预准备语句一直是人们熟悉的模式。)

问:它们是否实现了[prepared statement]，以便人们在发送查询值之前不会忘记转义值？

答:尽管有关于mysql_real_escape_string()函数的文档，但基于不使用预备语句时容易受到SQL注入(inject)攻击的代码示例的数量，您认为肯定是足够的原因。

我认为一个很大的好处是，当我们阅读代码时，我们可以将SQL语句视为单个字符串文字，而不是由一串变量组成的串联，包括引号和点以及对mysql_real_escape_string的调用，但事实并非如此用简单的查询不好，但是用更复杂的查询，就太麻烦了。 ?占位符的使用使SQL语句更易于理解，……是的，我确实需要查看其他代码行，以了解在那里填充了什么值。 (我认为Oracle样式命名参数:fee, :fi, :fo, :fum比位置?, ?, ?, ?表示法更可取。)但是使用STATIC SQL文本确实是真正的好处。

问:还是更快？

如前所述，在性能方面，使用服务器端准备好的语句可以是一种优势。并非总是如此，它会更快，但是对于重复执行同一条语句(唯一的区别是文字值)(如重复插入)，它可以提高性能。

问:还是当我打算重复使用同一查询时应该使用这种方法(因为mysqli_stmt可以重用)，而在其他情况下应该使用传统方法？

这取决于你。我的偏好是使用STATIC SQL文本。但这确实源于使用Oracle的悠久历史，并且将相同的模式与MySQL配合使用自然很合适。 (尽管使用Perl使用DBI界面，使用Java使用JDBC和MyBATIS或其他ORM(Hibernate，Glassfish JPA等)。

遵循相同的模式在PHP中感觉很自然。 mysqli_和PDO的引入是从神秘的(并且被滥用的)mysql_接口(interface)中获得的令人欣慰的缓解。

可以按照以下任何一种模式编写好的代码。但是，我挑战性地让您思考更复杂的SQL语句，以及选择使用 mysqli_real_escape_string() 并串联在一起执行一个动态字符串，而不是使用静态SQL文本和绑定(bind)参数，这是否会使阅读和解密变得容易，对于发现自己维护未编写代码的人来说，实际执行的SQL更为复杂。

我认为研究表明，读取的代码比编写的代码多十倍，这就是为什么我们努力生成可读，可理解的代码，即使这意味着更多的代码行也是如此。 (当每个语句都执行一个可识别的操作时，对于我来说，通常比在一个复杂的语句中读取一堆混杂的函数调用要容易得多。

关于php - 有人可以清楚地解释为什么mysqli_prepare()/bind_param()比real_escape_string()更好吗？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/18647458/

上一篇：mysql select case 多列作为

下一篇：mysql - 在 mysql 中搜索具有变音符号的阿拉伯语单词

相关文章：

php - foreach 循环中的水平 div 布局

php - 为什么查询会产生此错误 : mysqli_fetch_array() expects parameter 1 to be mysqli_result, boolean given in storagelog.php on line 24

mysql - sails/水线填充未按预期工作

php - mysqli bind_param 变量数量与准备好的语句中的参数数量不匹配

javascript - 我如何将 JavaScript confirm 变量传递给 php 变量

mySQL 命令行替代方案 - 远程工具

php - mysqli_stmt_execute() 期望参数 1 为 mysqli_stmt，

php - 如何检查 fetch_assoc 循环中是否还有行？

php - 将 MySQLi 结果传递给 PHP 中的函数有哪些内存影响？

javascript - 谷歌地图半径