php pdo防sql注入原理 php连接池

2016-06-30 02:36:00

pdo防sql注入原理

PdoTest.php

class PdoTest(){    protected $db;    protected $user;    protected $pass;    public function __construct($user = 'root', $pass = 123456)    {        $this->user = $user;        $this->pass = $pass;        $this->db = new PDO('mysql:host=localhost;dbname=test', $this->user, $this->pass);    }    function test()    {        //$userName = "tomener' or 1=1;--";        $userName = 'tomener';        $userName = isset($_GET['userName']) ? trim($_GET['userName']) : $userName;        echo '' . $userName . '';        // 方式一        $sql = 'select * from user where userName = ? and status = ?';        $stmt = $this->db->prepare($sql);        $stmt->execute(array($userName, 1));        $user_info = $stmt->fetch(PDO::FETCH_ASSOC);        echo '';var_dump($user_info);        // 方式二        $sql = "select * from user where userName = '". $userName ."' and status = 1"        $stmt =$this->db->prepare($sql);        $stmt->execute();        $user_info = $stmt->fetchAll(PDO::FETCH_ASSOC);        echo '';var_dump($user_info);    }}$PdoTest = new PdoTest();$PdoTest->test();

访问：

http://localhost/PdoTest.php

状态：方式一、方式二都正常

访问：

http://localhost/PdoTest.php?userName=tomener' or 1=1;--http://localhost/PdoTest.php?userName=tomener%27%20or%201=1;--

状态：方式一返回false，方式二返回user表所有数据

问题来了，为什么pdo预处理能正确处理sql注入呢？

mysql预处理语句，mysql支持预处理，sql已经预编译好了，坑已经挖好了，来一个填一个，不会改变原本sql的意思，那么后面的or 1=1;--根本不会被mysql编译成执行计划，被当作普通的字符串处理，没任何意义。

通俗的理解，就像是填空题，你只能在括号里面填写内容，并且这句话是预知的，如果这句话的意思都变了，那么就出现异常了，当然这样的理解不准确

获取姓名是（）并且状态为（）的用户，

如果是sql注入，那么就变成，

获取姓名是（）或者所有用户

显然，这和我们预先设定的意思是不一样的

php连接池

方式一：

程序使用持久连接(PDO::ATTR_PERSISTENT)访问数据库,则一个PHP-FPM工作进程对应一个到MySQL的长连接.
请求结束后,PHP不会释放到MySQL的连接,以便下次重用,这个过程对程序是透明的.
这可以看作是PHP-FPM维护的"数据库连接池".
假如你的服务器有12个核心(超线程),你开启24个PHP-FPM工作进程.需要注意的是,PHP-FPM的进程数pm.max_children不要多于MySQL的最大连接数max_connections(默认151)

 '127.0.0.1',    'db_username'    => 'root',    'db_password'    => '',    'db_name'        => 'mybase',    'db_port'        => 3306,    'db_pconnect'    => true);$dsn = "mysql:dbname=$app[db_name];host=$app[db_host];port=$app[db_port];charset=utf8";$db = new PDO($dsn, $app['db_username'], $app['db_password'], array(    PDO::ATTR_PERSISTENT => $app['db_pconnect'],    PDO::ATTR_EMULATE_PREPARES => false,    PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));