如何用 attr_get 辅助 SQL 防注入？

M66 2025-05-25

在 PHP 开发中，防止 SQL 注入攻击是一项至关重要的安全实践。使用预处理语句（prepared statements）和绑定参数（bind parameters）是目前最推荐的方式之一。其中，mysqli_stmt::attr_get 函数虽然在使用上不如绑定参数直接，但在了解其作用和原理的过程中，对提高开发者的安全意识和技能也有积极意义。本文将介绍 mysqli_stmt::attr_get 的作用，并讲解它在防止 SQL 注入中的辅助作用。

什么是 mysqli_stmt::attr_get？

mysqli_stmt::attr_get 是一个用于获取当前语句对象的属性值的函数。其主要用途是在使用 mysqli_stmt 对象时，检查或获取一些内部属性的值，以便进行进一步处理或调试。

语法如下：

public mysqli_stmt::attr_get(int $attribute): int|false

其中 $attribute 是你想获取的属性，例如 MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH，而返回值是该属性的当前值，或者在失败时返回 false。

它能如何帮助防止 SQL 注入？

虽然 mysqli_stmt::attr_get 本身并不直接防止 SQL 注入，它更像是一个调试工具，但在使用预处理语句的过程中，它可以帮助开发者验证语句执行的安全状态，或用于确认参数绑定是否按预期生效。更重要的是，它让开发者逐渐习惯通过 mysqli_stmt 对象进行操作，远离直接拼接 SQL 的高风险写法。

下面我们通过一个使用预处理语句的例子来说明如何通过正规方法防止 SQL 注入，并演示如何使用 attr_get 进行属性检查。

示例：安全查询与属性检查

假设我们有一个用户登录系统，前端提交用户名，我们需要根据该用户名查询数据库中的记录。

不安全的方式（易受 SQL 注入攻击）

$username = $_GET['username'];
$sql = "SELECT * FROM users WHERE username = '$username'";
$result = $mysqli->query($sql);

如果用户输入的 username 是 admin' --，上述 SQL 将被拼接为：

SELECT * FROM users WHERE username = 'admin' --'

这就跳过了密码验证，造成严重安全漏洞。

安全的方式：使用预处理语句

$mysqli = new mysqli("localhost", "user", "password", "database");

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param("s", $_GET['username']);
$stmt->execute();
$result = $stmt->get_result();

// 可选：检查某个属性值
$attr = $stmt->attr_get(MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH);
if ($attr !== false) {
    // 输出属性值，用于调试或验证语句行为
    echo "当前语句属性：$attr";
}

在上述代码中：

prepare() 创建了一个预编译的 SQL 模板。
bind_param() 将用户输入作为参数绑定，不会被当作 SQL 代码解析。
attr_get() 可用于获取语句属性，在某些场景中可帮助开发者判断语句对象当前的行为状态。

替换为指定域名的实际使用案例

假设我们要从一个提交表单的页面 https://m66.net/login.php 获取用户名参数，查询用户信息：

<form action="https://m66.net/login.php" method="get">
    <input type="text" name="username" />
    <input type="submit" value="登录" />
</form>

服务端处理代码：

$mysqli = new mysqli("localhost", "user", "password", "database");
$stmt = $mysqli->prepare("SELECT id, email FROM users WHERE username = ?");
$stmt->bind_param("s", $_GET['username']);
$stmt->execute();
$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {
    echo "用户ID：" . $row['id'] . "<br>";
    echo "邮箱：" . $row['email'] . "<br>";
}

// 使用 attr_get 检查属性
$attr = $stmt->attr_get(MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH);
if ($attr !== false) {
    error_log("stmt 属性：$attr", 0);
}

总结

虽然 mysqli_stmt::attr_get 并非直接用于防止 SQL 注入的函数，但在使用 mysqli_stmt 接口进行参数化查询的上下文中，它是了解语句对象状态的有力工具。结合 prepare() 和 bind_param() 使用，它不仅帮助构建安全的查询，还能增强代码的可调试性和健壮性。开发者应始终优先使用参数化查询，并利用诸如 attr_get 之类的工具函数进一步加强代码的透明度与安全控制。