面试题：什麽是 SQL injection？如何预防？

什麽是 SQL injection

透过网页 input 或 url，在送资料的时候带 SQL query 去操作资料库，可以是新增、删除或其他操作。

如何防止

简单来说，就是对输入的 request 做检查，把 SQL query 过滤掉。
实作上，PHP 可以透过 PDO 来相对容易做到。

PDO—PHP Data Objects—are a database access layer providing a uniform method of access to multiple databases.

使用 PDO 有两阶段:

1. 准备指令
2. 执行

Using prepared statements will help protect you from SQL injection.

透过在准备阶段使用 placeholder 去过滤 SQL 达到预防 SQL injection 的效果。

# 有 SQL Injection 风险
$query = $DB->prepare("INSERT INTO users (name, email) values ($name, $email)");
  
# unnamed placeholders
$query = $DB->prepare("INSERT INTO users (name, email) values (?, ?)");

# named placeholders
$query = $DB->prepare("INSERT INTO users (name, email) values (:name, :email)");

bind 是绑定参数到 placeholder

ORM

Object-Relational Mapping

将关连式资料库的资料映射到物件，好让我们能用物件导向的逻辑去存取资料库资料；目前大部分框架都有搭配各自的 ORM，Laravel 搭配的是 Eloquent ORM、Django 搭配的是 Django ORM。

而 Eloquent ORM 基本上是建构在 PDO 之上的，所以使用得当的话是预防 SQL Injection 的。

值得注意的是，还是有一些方法是会有漏洞的，例如 whereRaw()。有 raw 的基本上就是不会去做 SQL 的过滤；使用时就要记得用 placeholder，就是写那个「?」，而非直接把变数接在 SQL 里。

// Dont Do
$users = User::whereRaw('age > ? and votes = 100', [25])->get();

// Do
$users = User::whereRaw("age > {$_GET['age']} and votes = 100")->get();

Reference

• Why You Should Be Using PHP's PDO for Database Access
• Does Eloquent ORM(laravel 5) take care of SQL injection?