ThinkPHP 6.x 中如何有效防止SQL注入攻击？

题目

ThinkPHP 6.x 中如何有效防止SQL注入攻击？

信息

• 类型：问答
• 难度：⭐⭐

考点

SQL注入防护,ThinkPHP安全机制,ORM使用,参数绑定

快速回答

在ThinkPHP 6.x中防止SQL注入的核心方法：

• 使用查询构造器或ORM模型进行数据库操作
• 强制使用参数绑定机制处理外部输入
• 避免直接拼接SQL语句
• 开启PDO参数绑定（默认启用）
• 对特殊场景使用filter_var或validate进行输入过滤

1. 核心防护原理

ThinkPHP通过查询构造器和ORM的参数绑定机制实现SQL注入防护：

• 所有输入数据会被当作参数值处理而非SQL语句片段
• 底层使用PDO预处理语句，将SQL指令与数据分离
• 数据库驱动自动对参数进行安全转义

2. 正确使用示例

// 安全方式1：查询构造器 + 参数绑定
Db::name('user')
   ->where('email', '=', $inputEmail)
   ->where('status', '>', 0)
   ->select();

// 安全方式2：命名占位符
Db::name('user')
   ->where('create_time > :time AND status=:stat', [
        'time' => $inputTime,
        'stat' => $inputStatus
    ])
   ->select();

// 安全方式3：模型操作
$user = UserModel::where('name', $inputName)
               ->find();

3. 危险做法（必须避免）

// ❌ 直接拼接SQL（高危）
$sql = "SELECT * FROM user WHERE name='" . $_POST['name'] . "'";
Db::query($sql);

// ❌ 错误使用whereRaw
Db::name('user')
   ->whereRaw("name='" . $inputName . "'")
   ->select();

4. 特殊场景处理

• IN查询：使用专用方法

  Db::name('user')
     ->where('id', 'in', explode(',', $inputIds)) // 自动绑定参数
     ->select();

• 字段名动态化：用白名单过滤

  $allowFields = ['name','email'];
  $field = in_array($inputField, $allowFields) ? $inputField : 'id';
  Db::name('user')->field($field)->select();

5. 最佳实践

• 始终使用Db类或模型提供的方法
• 强制开启config/database.php中的params_bind配置
• 结合验证器过滤输入：

  $data = request()->only(['name','email']);
  $validate = new \app\validate\User();
  if (!$validate->check($data)) {
      // 处理验证失败
  }

• 定期使用think-orm的getLastSql()检查实际SQL

6. 常见错误

• 误用fetchSql(true)后直接执行拼接结果
• 在whereRaw/orderRaw中拼接用户输入
• 未过滤直接使用request()->param()的数组参数

7. 扩展知识

• 防护层级：
  1. 应用层（参数绑定）
  2. 数据库层（PDO预处理）
  3. 操作系统层（权限隔离）
• ThinkPHP机制：
  • 底层通过Connection类的parseBind方法处理绑定
  • 字符串参数自动添加引号，数字参数强制类型转换
• 其他风险：
  • XSS攻击：需配合htmlspecialchars输出过滤
  • CSRF：启用表单令牌验证