为什么不应该使用mysql_*函数的技术原因是什么?(例如mysql_query()、mysql_connect()或mysql_real_ascape_string())?

为什么我要使用其他东西,即使它们在我的网站上工作?

如果它们在我的网站上不起作用,为什么我会出现这样的错误

警告:mysql_connect():没有这样的文件或目录


当前回答

mysql_函数:

已过时-不再维护不允许您轻松移动到另一个数据库后端不支持准备好的语句,因此鼓励程序员使用串联来构建查询,从而导致SQL注入漏洞

其他回答

我觉得上面的答案很冗长,所以总结一下:

mysqli扩展有许多优势,关键增强mysql扩展名为:面向对象的接口对已编制报表的支持支持多个语句交易支持增强的调试功能嵌入式服务器支持

来源:MySQLi概述


正如上面的答案所解释的,mysql的替代品是mysqli和PDO(PHP数据对象)。

API支持服务器端Prepared Statements:由MYSQLi和PDO支持API支持客户端Prepared Statements:仅PDO支持API支持存储过程:MySQLi和PDOAPI支持多语句和所有MySQL 4.1+功能-由MySQLi支持,大部分也由PDO支持

MySQLi和PDO都是在PHP 5.0中引入的,而MySQL是在PHP 3.0之前引入的。需要注意的一点是,MySQL包含在PHP5.x中,但在以后的版本中已被弃用。

mysql_函数:

已过时-不再维护不允许您轻松移动到另一个数据库后端不支持准备好的语句,因此鼓励程序员使用串联来构建查询,从而导致SQL注入漏洞

因为(除其他原因外)要确保输入数据得到净化要困难得多。如果您使用参数化查询,就像使用PDO或mysqli一样,您可以完全避免风险。

例如,有人可以使用“enhzflep);drop table users”作为用户名。旧的函数将允许每个查询执行多个语句,所以像这种讨厌的bug可以删除整个表。

如果要使用mysqli的PDO,用户名将以“enhzflep);drop table user”结尾。

参见bobby-tables.com。

易于使用

分析和综合原因已经提到。对于新手来说,停止使用过时的mysql_函数是一个更重要的激励因素。

现代数据库API更易于使用。

主要是绑定参数可以简化代码。而且有了优秀的教程(如上所述),向PDO的过渡并不太困难。

然而,一次重写更大的代码库需要时间。Raison d‘être表示此中间选项:

替代mysql的等效pdo_*函数_*

使用<pdo_mysql.php>,您可以毫不费力地切换旧的mysql_函数。它添加了pdo_函数包装器,取代了mysql_对应的包装器。

只需包含一次(“pdo_mysql.php”);在必须与数据库交互的每个调用脚本中。删除所有地方的mysql_函数前缀,并将其替换为pdo。mysql_connect()变为pdo_connect()mysql_query()变为pdo_query()mysql_num_rows()变为pdo_num_rowsmysql_insert_id()变为pdo_insert_id()mysql_fetch_array()变为pdo_fetch_arraymysql_fetch_assoc()变为pdo_fetch_assocmysql_real_ascape_string()变为pdo_real_escape_string()等等您的代码工作方式相同,但大部分看起来仍然相同:includeonce(“pdo_mysql.php”);pdo_connect(“localhost”、“usrABC”、“pw1234567”);pdo_select_db(“测试”);$result=pdo_query(“SELECT title,html FROM pages”);而($row=pdo_fetch_assoc($result)){打印“$row[title]-$row[html]”;}

等等。您的代码正在使用PDO。现在是时候真正利用它了。

绑定参数很容易使用

你只需要一个不那么笨重的API。

pdo_query()为绑定参数添加了非常简单的支持。转换旧代码很简单:

将变量移出SQL字符串。

将它们作为逗号分隔的函数参数添加到pdo_query()中。打问号?作为变量之前的占位符。去掉之前包含字符串值/变量的“单引号”。

对于较长的代码,优势变得更加明显。

字符串变量通常不只是插入到SQL中,而是与其间的转义调用连接在一起。

pdo_query("SELECT id, links, html, title, user, date FROM articles
   WHERE title='" . pdo_real_escape_string($title) . "' OR id='".
   pdo_real_escape_string($title) . "' AND user <> '" .
   pdo_real_escape_string($root) . "' ORDER BY date")

具有应用了占位符,您不必担心:

pdo_query("SELECT id, links, html, title, user, date FROM articles
   WHERE title=? OR id=? AND user<>? ORDER BY date", $title, $id, $root)

请记住,pdo_*仍然允许或。只是不要转义变量并将其绑定到同一个查询中。

占位符功能由其背后的真实PDO提供。因此也允许:稍后命名占位符列表。

更重要的是,您可以在任何查询后安全地传递$_REQUEST[]变量。当提交<form>字段与数据库结构完全匹配时,它甚至更短:

pdo_query("INSERT INTO pages VALUES (?,?,?,?,?)", $_POST);

太简单了。但是,让我们回到一些重写建议和技术原因,来解释为什么你可能想要摆脱mysql并逃离。

修复或删除任何旧的学校消毒()函数

将所有mysql_调用转换为带有绑定参数的pdo_query后,删除所有冗余的pdo_real_escape_string调用。

特别是,您应该修复任何消毒剂、清洁剂或过滤器This或clean_data函数,如过期教程以一种或另一种形式宣传的那样:

function sanitize($str) {
   return trim(strip_tags(htmlentities(pdo_real_escape_string($str))));
}

这里最明显的缺陷是缺少文档。更重要的是,过滤的顺序完全错误。

正确的顺序应该是:不赞成将stripse作为最内部的调用,然后trim,然后stripse_tags,htmlentities作为输出上下文,最后是_escape_string,因为它的应用程序应该直接在SQL中间存储之前。但作为第一步,只需去掉_real_aescape_string调用。如果您的数据库和应用程序流需要HTML上下文安全字符串,您可能需要暂时保留cleaning()函数的其余部分。添加一个注释,它以后只应用HTML转义。字符串/值处理委托给PDO及其参数化语句。如果在您的消毒功能中提到stripslases(),则可能表明存在更高级别的监督。这通常是为了消除不推荐使用的magic_quotes的损坏(双转义)。然而,最好是集中固定,而不是逐串固定。使用一种用户区反转方法。然后删除消毒功能中的stripslasshes()。magic_quotes上的历史注释。该功能被正确地弃用。然而,它通常被错误地描述为失败的安全功能。但魔法语录是一个失败的安全功能,就像网球作为营养来源失败一样。这根本不是他们的目的。PHP2/FI中最初的实现明确地引入了它,只是“引号将自动转义,从而更容易将表单数据直接传递给msql查询”。值得注意的是,与mSQL一起使用是意外安全的,因为它只支持ASCII。然后PHP3/Zend为MySQL重新引入了magic_quotes,并对其进行了错误的记录。但最初它只是一个方便的功能,并不是为了安全。

准备的报表有何不同

当您在SQL查询中加入字符串变量时,您不仅需要更复杂的操作。MySQL再次分离代码和数据也是多余的工作。

SQL注入只是当数据泄漏到代码上下文中时。数据库服务器稍后无法发现PHP最初将变量粘在查询子句之间的位置。

使用绑定参数,可以在PHP代码中分离SQL代码和SQL上下文值。但它不会在幕后再次被搅乱(除了PDO::EMULATE_PREPARES)。您的数据库接收未变化的SQL命令和1:1的变量值。

虽然这个答案强调了您应该关注删除mysql_的可读性优势。由于这种可见的技术数据/代码分离,偶尔也会有性能优势(重复的INSERT值不同)。

请注意,参数绑定仍然不是针对所有SQL注入的一站式解决方案。它处理数据/值的最常见用法。但不能白名单列名/表标识符,帮助动态子句构造,或仅列出纯数组值列表。

混合PDO使用

这些pdo_*包装器函数构成了一个编码友好的间隙API。(如果不是特殊的函数签名转换,这几乎是MYSQLI所能做到的)。他们也在大多数时候暴露真实的PDO。重写不必停止使用新的pdo_函数名。您可以逐个将每个pdo_query()转换为普通的$pdo->prepare()->execute()调用。

然而,最好从简化开始。例如,常见的结果获取:

$result = pdo_query("SELECT * FROM tbl");
while ($row = pdo_fetch_assoc($result)) {

可以用foreach迭代替换:

foreach ($result as $row) {

或者更好的是直接和完整的阵列检索:

$result->fetchAll();

在大多数情况下,您将得到比PDO或mysql_通常在查询失败后提供的警告更有用的警告。

其他选项

因此,这很有希望看到一些实际的原因和一个值得放弃mysql_的途径。

仅仅切换到pdo并不能完全解决问题。pdo_query()也只是它的前端。

除非您还引入了参数绑定,或者可以利用更好的API中的其他东西,否则这是一个毫无意义的切换。我希望它被描绘得足够简单,不会加深对新人的失望。(教育通常比禁止更好。)

虽然它符合可能工作的最简单的东西,但它仍然是非常实验性的代码。我只是周末写的。然而,有太多的选择。只需搜索PHP数据库抽象并浏览一下。一直以来都有很多优秀的图书馆可以完成这样的任务。

如果您想进一步简化数据库交互,像Paris/Inidiorm这样的映射器值得一试。就像没有人在JavaScript中使用乏味的DOM一样,现在您不必照顾原始的数据库界面。

MySQL扩展是三个扩展中最古老的,也是开发人员用来与MySQL通信的原始方式。由于PHP和MySQL的更新版本都有改进,因此现在不推荐使用此扩展,而支持其他两种替代方案。

MySQLi是用于处理MySQL数据库的“改进”扩展。它利用了MySQL服务器较新版本中可用的功能,向开发人员公开了面向功能和面向对象的界面,并做了一些其他漂亮的事情。PDO提供了一个API,它整合了以前分布在主要数据库访问扩展(即MySQL、PostgreSQL、SQLite、MSSQL等)中的大部分功能。该接口为程序员提供高级对象,以处理数据库连接、查询和结果集,低级驱动程序与数据库服务器进行通信和资源处理。PDO正在进行大量的讨论和工作,它被认为是使用现代专业代码处理数据库的适当方法。