Evitando injeção de SQL no PHP
Olá caro leitor, estarei criando uma explicação rápida como evitar injeção SQL.
Use instruções preparadas e consultas parametrizadas. Essas são instruções SQL enviadas e analisadas pelo servidor de banco de dados separadamente de quaisquer parâmetros. Dessa forma, é impossível para um invasor injetar SQL malicioso.
Você tem basicamente duas opções para conseguir isso:
1. Usando PDO (para qualquer driver de banco de dados compatível):
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute([ 'name' => $name ]);
foreach ($stmt as $row) {
// Do something with $row
}
2. Usando MySQLi (para MySQL):
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// Do something with $row
}
Se você estiver se conectando a um banco de dados diferente do MySQL, há uma segunda opção específica do driver que você pode consultar (por exemplo, pg_prepare() e pg_execute()para PostgreSQL). O PDO é a opção universal.
Configurando corretamente a conexão
Observe que, ao usar PDOpara acessar um banco de dados MySQL, instruções reais preparadas não são usadas por padrão . Para corrigir isso, você deve desativar a emulação de instruções preparadas. Um exemplo de criação de uma conexão usando PDO é:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
No exemplo acima, o modo de erro não é estritamente necessário, mas é aconselhável adicioná-lo . Dessa forma, o script não irá parar Fatal Errorquando algo der errado. E dá ao desenvolvedor a chance de catchqualquer erro (s) que são thrown como PDOExceptions.
O que é obrigatório , no entanto, é a primeira setAttribute()linha, que diz ao PDO para desabilitar as instruções preparadas emuladas e usar as instruções preparadas reais . Isso garante que a instrução e os valores não sejam analisados pelo PHP antes de enviá-los ao servidor MySQL (não dando a um possível invasor chance de injetar SQL malicioso).
Embora você possa definir o charsetnas opções do construtor, é importante observar que as versões ‘mais antigas’ do PHP (antes de 5.3.6) ignoraram silenciosamente o parâmetro charset no DSN.
Explicação
A instrução SQL que você passa prepareé analisada e compilada pelo servidor de banco de dados. Ao especificar parâmetros (um ?ou um parâmetro nomeado como :nameno exemplo acima), você informa ao mecanismo de banco de dados onde deseja filtrar. Então, quando você chama execute, a instrução preparada é combinada com os valores de parâmetro que você especificar.
O importante aqui é que os valores dos parâmetros sejam combinados com a instrução compilada, não com uma string SQL. A injeção de SQL funciona enganando o script para incluir strings maliciosas ao criar SQL para enviar ao banco de dados. Portanto, ao enviar o SQL real separadamente dos parâmetros, você limita o risco de terminar com algo que não pretendia.
Quaisquer parâmetros que você enviar ao usar uma instrução preparada serão tratados apenas como strings (embora o mecanismo de banco de dados possa fazer alguma otimização, então os parâmetros podem acabar como números também, é claro). No exemplo acima, se a $namevariável contiver ‘Sarah’; DELETE FROM employeeso resultado seria simplesmente uma busca pela string “‘Sarah’; DELETE FROM employees”, e você não terminará com uma tabela vazia .
Outro benefício de usar instruções preparadas é que, se você executar a mesma instrução muitas vezes na mesma sessão, ela só será analisada e compilada uma vez, proporcionando alguns ganhos de velocidade.
Aqui está um exemplo (usando PDO):
$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute([ 'column' => $unsafeValue ]);
As declarações preparadas podem ser usadas para consultas dinâmicas?
Embora você ainda possa usar instruções preparadas para os parâmetros de consulta, a estrutura da consulta dinâmica em si não pode ser parametrizada e certos recursos de consulta não podem ser parametrizados.
Para esses cenários específicos, a melhor coisa a fazer é usar um filtro de lista branca que restringe os valores possíveis.
// Value whitelist
// $dir can only be 'DESC', otherwise it will be 'ASC'
if (empty($dir) || $dir !== 'DESC') {
$dir = 'ASC';
}