Apache 模組 mod_dbd

連線池

此模組以平台優化方式管理資料庫連線。在非執行緒平台上，它提供了連線，如同傳統的 LAMP (Linux、Apache、Mysql、Perl/PHP/Python)。在執行緒平台上，它提供可擴充又有效率的連線池，就如 ApacheTutor 的這篇文章 中所描述。請注意，mod_dbd 優先於該篇文章中呈現的模組。

連線

若要連線到資料庫，你需要指定驅動程式和連線參數。每個資料庫引擎的資料各不相同。例如，若要連線到 MySQL，請執行下列動作

DBDriver mysql
DBDParams host=localhost,dbname=pony,user=shetland,pass=appaloosa

然後，你可以使用其他各種模組中的這個連線，包括 mod_rewrite、mod_authn_dbd 和 mod_lua。每個模組的文件中都會有更詳細的使用範例。

請參閱 DBDParams，以取得每一個受支援的資料庫驅動程式的連線字串資訊。

Apache DBD API

mod_dbd 匯出五個函數供其他模組使用。API 如下

typedef struct {
    apr_dbd_t *handle;
    apr_dbd_driver_t *driver;
    apr_hash_t *prepared;
} ap_dbd_t;

/* Export functions to access the database */

/* acquire a connection that MUST be explicitly closed.
 * Returns NULL on error
 */
AP_DECLARE(ap_dbd_t*) ap_dbd_open(apr_pool_t*, server_rec*);

/* release a connection acquired with ap_dbd_open */
AP_DECLARE(void) ap_dbd_close(server_rec*, ap_dbd_t*);

/* acquire a connection that will have the lifetime of a request
 * and MUST NOT be explicitly closed.  Return NULL on error.
 * This is the preferred function for most applications.
 */
AP_DECLARE(ap_dbd_t*) ap_dbd_acquire(request_rec*);

/* acquire a connection that will have the lifetime of a connection
 * and MUST NOT be explicitly closed.  Return NULL on error.
 */
AP_DECLARE(ap_dbd_t*) ap_dbd_cacquire(conn_rec*);

/* Prepare a statement for use by a client module */
AP_DECLARE(void) ap_dbd_prepare(server_rec*, const char*, const char*);

/* Also export them as optional functions for modules that prefer it */
APR_DECLARE_OPTIONAL_FN(ap_dbd_t*, ap_dbd_open, (apr_pool_t*, server_rec*));
APR_DECLARE_OPTIONAL_FN(void, ap_dbd_close, (server_rec*, ap_dbd_t*));
APR_DECLARE_OPTIONAL_FN(ap_dbd_t*, ap_dbd_acquire, (request_rec*));
APR_DECLARE_OPTIONAL_FN(ap_dbd_t*, ap_dbd_cacquire, (conn_rec*));
APR_DECLARE_OPTIONAL_FN(void, ap_dbd_prepare, (server_rec*, const char*, const char*));

SQL 準備好的陳述式

mod_dbd 支援 SQL 準備好的陳述式，讓需要使用這些陳述式的模組能使用。每個準備好的陳述式都必須指定一個名稱 (標籤)，並儲存在 hash 中：一個 ap_dbd_t 的 prepared 欄位。Hash 項目為 apr_dbd_prepared_t 類型，並可在任何 apr_dbd 準備好的陳述式 SQL 查詢或選取指令中使用。

由 dbd 使用者模組使用準備好的陳述式，並記錄可以在 httpd.conf 中指定的陳述式，或提供自己的指令並使用 ap_dbd_prepare。

安全性警告

任何網路/資料庫應用程式都需要確保自己不會受到 SQL 注入攻擊。在大多數的情況下，Apache DBD 是安全的，因為應用程式會使用準備好的陳述式，而不可信賴的輸入只會做為資料使用。當然，如果你透過第三方模組使用，你應該要確認模組會採取哪些預防措施。

然而，FreeTDS 驅動程式本身並不安全。底層程式庫不支援準備好的陳述式，因此驅動程式會模擬這些陳述式，而不可信賴的輸入會併入 SQL 陳述式中。

透過移除污染所有輸入，就能讓它變得安全：這個程序的靈感來自 Perl 的污染檢查。根據 Perl 的慣例，每個輸入都會與正規表示法進行比對，而只使用比對結果

  $untrusted =~ /([a-z]+)/;
  $trusted = $1;

若要使用這項功能，必須納入已設定好的準備好的陳述式中移除污染的正規表示法。正規表示法在準備好的陳述式中的 % 之後立即出現，並用大括號 {} 括住。例如，如果你的應用程式預期字母數字輸入，你可以使用

搭配其他驅動程式，最糟的情況只會是查詢失敗。但是配上 FreeTDS，你會需要

現在與 regexp 的 $1 相符的任何項目都將會被捨棄，所以這個陳述是安全的。

另一個選擇為第三方 ODBC 驅動程式，它提供真正的準備好陳述的安全性。