Evitando injeção de SQL no PHP

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

foreach ($stmt as $row) {
// Do something with $row
}

2. Usando MySQLi (para MySQL):
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// Do something with $row
}

Se você estiver se conectando a um banco de dados diferente do MySQL, há uma segunda opção específica do driver que você pode consultar (por exemplo, pg_prepare() e pg_execute()para PostgreSQL). O PDO é a opção universal.

Configurando corretamente a conexão
Observe que, ao usar PDOpara acessar um banco de dados MySQL, instruções reais preparadas não são usadas por padrão . Para corrigir isso, você deve desativar a emulação de instruções preparadas. Um exemplo de criação de uma conexão usando PDO é:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

No exemplo acima, o modo de erro não é estritamente necessário, mas é aconselhável adicioná-lo . Dessa forma, o script não irá parar Fatal Errorquando algo der errado. E dá ao desenvolvedor a chance de catchqualquer erro (s) que são thrown como PDOExceptions.

O que é obrigatório , no entanto, é a primeira setAttribute()linha, que diz ao PDO para desabilitar as instruções preparadas emuladas e usar as instruções preparadas reais . Isso garante que a instrução e os valores não sejam analisados ​​pelo PHP antes de enviá-los ao servidor MySQL (não dando a um possível invasor chance de injetar SQL malicioso).

Embora você possa definir o charsetnas opções do construtor, é importante observar que as versões ‘mais antigas’ do PHP (antes de 5.3.6) ignoraram silenciosamente o parâmetro charset no DSN.

Explicação
A instrução SQL que você passa prepareé analisada e compilada pelo servidor de banco de dados. Ao especificar parâmetros (um ?ou um parâmetro nomeado como :nameno exemplo acima), você informa ao mecanismo de banco de dados onde deseja filtrar. Então, quando você chama execute, a instrução preparada é combinada com os valores de parâmetro que você especificar.

O importante aqui é que os valores dos parâmetros sejam combinados com a instrução compilada, não com uma string SQL. A injeção de SQL funciona enganando o script para incluir strings maliciosas ao criar SQL para enviar ao banco de dados. Portanto, ao enviar o SQL real separadamente dos parâmetros, você limita o risco de terminar com algo que não pretendia.

Quaisquer parâmetros que você enviar ao usar uma instrução preparada serão tratados apenas como strings (embora o mecanismo de banco de dados possa fazer alguma otimização, então os parâmetros podem acabar como números também, é claro). No exemplo acima, se a $namevariável contiver ‘Sarah’; DELETE FROM employeeso resultado seria simplesmente uma busca pela string “‘Sarah’; DELETE FROM employees”, e você não terminará com uma tabela vazia .

Outro benefício de usar instruções preparadas é que, se você executar a mesma instrução muitas vezes na mesma sessão, ela só será analisada e compilada uma vez, proporcionando alguns ganhos de velocidade.

Aqui está um exemplo (usando PDO):

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute([ 'column' => $unsafeValue ]);

As declarações preparadas podem ser usadas para consultas dinâmicas?
Embora você ainda possa usar instruções preparadas para os parâmetros de consulta, a estrutura da consulta dinâmica em si não pode ser parametrizada e certos recursos de consulta não podem ser parametrizados.

Para esses cenários específicos, a melhor coisa a fazer é usar um filtro de lista branca que restringe os valores possíveis.

// Value whitelist
// $dir can only be 'DESC', otherwise it will be 'ASC'
if (empty($dir) || $dir !== 'DESC') {
$dir = 'ASC';
}