PHP作为常用的后端开发语言,在面试中数据库安全相关的知识点出现频率极高,掌握这些核心内容能有效提升面试通过率。下面整理的内容覆盖了面试中常考的PHP数据库安全重点,方便大家针对性复习。
SQL注入的防御机制
SQL注入是PHP数据库安全中最常考的攻击类型,面试官通常会问如何有效防御。最核心的方案是使用预处理语句,也就是参数化查询,它能把SQL逻辑和用户输入的数据分开处理,避免用户输入被解析为SQL指令。
除了预处理语句,还需要注意对用户输入做基础校验,比如限制输入长度、过滤特殊字符,但校验不能替代预处理语句,只能作为辅助手段。另外要避免直接拼接用户输入到SQL语句中,这是最容易引发注入的低级错误。
预处理语句的正确使用
PHP中常用的PDO和mysqli扩展都支持预处理语句,面试中可能会要求写出示例代码。下面是使用PDO实现预处理查询的示例:
<?php
// 数据库配置
$dsn = 'mysql:host=127.0.0.1;dbname=test;charset=utf8mb4';
$username = 'db_user';
$password = 'db_pass';
try {
// 创建PDO连接
$pdo = new PDO($dsn, $username, $password, [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
]);
// 准备预处理语句,用占位符代替直接拼接用户输入
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND status = :status');
// 绑定参数,参数值不会参与SQL逻辑解析
$stmt->bindParam(':username', $inputUsername, PDO::PARAM_STR);
$stmt->bindParam(':status', $inputStatus, PDO::PARAM_INT);
// 假设的用户输入
$inputUsername = $_POST['username'] ?? '';
$inputStatus = 1;
// 执行查询
$stmt->execute();
// 获取结果
$result = $stmt->fetchAll();
print_r($result);
} catch (PDOException $e) {
// 错误处理,不要直接输出数据库错误信息到页面
error_log('数据库查询错误: ' . $e->getMessage());
echo '查询失败,请稍后重试';
}
?>
数据库连接与配置安全
面试中也会考察数据库连接的相关安全配置,比如不要在生产环境使用root账户连接数据库,要为每个应用创建专属的数据库账户,并且只授予该账户必要的最小权限,比如只读账户就不要给写入、删除权限。
另外数据库连接的配置信息不要直接写在代码里,最好放在环境变量或者外部配置文件中,并且限制配置文件的访问权限,避免配置文件被非法读取导致数据库账户泄露。连接数据库时要指定正确的字符集,比如utf8mb4,避免出现字符编码相关的安全问题。
敏感数据的存储安全
用户密码等敏感数据绝对不能明文存储,面试中常考的加密方式是使用PHP内置的password_hash()函数生成哈希值,用password_verify()函数验证密码,不要使用已经过时的md5、sha1等弱哈希算法。
对于其他敏感信息,比如用户的手机号、身份证号,如果需要存储,要使用AES等对称加密算法加密后存储,密钥需要单独妥善保管,不要和数据库放在同一台服务器上。
常见面试追问点
- 预处理语句一定能防SQL注入吗?答案是如果正确使用就可以,但是如果预处理语句中仍然拼接了用户输入,或者使用了不安全的模拟预处理模式,还是可能有风险。
- 为什么不能用addslashes函数防注入?因为addslashes只能转义少数几个字符,无法覆盖所有注入场景,而且不同字符集下可能失效,防御效果远不如预处理语句。
- 数据库报错信息为什么要屏蔽?因为详细的数据库报错会暴露表名、字段名甚至数据库结构,给攻击者提供注入的线索,生产环境要关闭错误显示,把错误记录到日志中。
面试中回答这类问题要结合原理和实际使用场景,不要只背概念,最好能举出对应的代码示例,会让回答更有说服力。