mysqli准备好的语句是否完全免受mysql注入？

Question

所以我一直在阅读很多关于准备好的陈述，并且不断得到关于准备好的陈述如何防止mysql注入的各种答案。有些人说它完全覆盖了它，而另一些人则说它们仍然有一些小的工作或某些事情。几乎我只是想确认这个代码，我是安全的，知道居然有准备语句中的任何孔：

<?php 
ignore_user_abort(true); 

$user = $_REQUEST['username']; 
$pass = $_REQUEST['password']; 

if (isset($user) && isset($pass)) { 
require('/var/www/data/config.php'); //contains the db connection 

if ($stmt = mysqli_prepare($mysqli, "SELECT password FROM users WHERE username=?")) { 
    mysqli_stmt_bind_param($stmt, 's', $user); 
    mysqli_stmt_execute($stmt); 
    mysqli_stmt_bind_result($stmt, $gpass); 
    mysqli_stmt_fetch($stmt); 
    mysqli_stmt_close($stmt); 

    if ($gpass) { 
     require('/var/www/data/handles/fCrypt.php'); 

     $chk = verify($pass, $gpass); //custom blowfish validation 

     if ($chk) { 
      //password correct, continue 
     } else { 
      mysqli_close($mysqli); 
      //echo invalid password stuff 
     } 
    } else { 
     mysqli_close($mysqli); 
     //echo invalid username stuff 
    } 
} else { 
    mysqli_close($mysqli); 
    die('Query Error'); 
} 
} else { 
die('Invalid Request'); 
} 
?> 

Answer 1

像其他任何措施，他们作品时适用。
因此，当不适用时，他们不能提供帮助。

因此，只要您可以通过占位符添加每个动态查询部分，就可以认为您的查询安全。

注意。这就是为什么你不应该使用mysqli，而是移动到PDO或SafeMysql。

只要尝试创建一个简单的IN()语句，使用mysqli预准备语句绑定任意数量值的数组。你会立即停止使用它。

PDO与IN()语句不太好，但代码至少合理。

Answer 2

我不是这个话题的专家，但我会说安全首先是一个实践问题。但是，只要你遵循它，那么拥有使它更容易遵循正确方式的工具确实有帮助。

对于该工具如何帮助您实现该目标存在限制：评论中提到的that post on PDO usefullness涵盖了它们非常好。 对于他们中的一些人来说，很难理解为什么（IN子句问题可能是技术问题），但其他人很有意义：对于查询的语法部分（如表或列名称） - 除此之外对于数据库引擎编译和优化查询而不知道它正在处理的是哪一列或哪一个表而言是相当不利的，因此不应该有任何这样的数据来自用户的理由（人们会认为数据库管理工具是可能发生这种情况的一种情况，但该程序类别已经与最终用户具有一定程度的信任关系）。

db元数据已知和操纵的唯一地方是程序。这个断言真的意味着它是ok动态构建查询，逐位构建查询，甚至使用库来帮助您确保查询在语法上是正确的，只要您遵守核心规则：不泄漏数据库架构到用户空间。

关于你的代码，在我看来，你已经遵循规则，我没有看到任何危险的陈述。