使用PDO查询mysql避免SQL注入

最新推荐文章于 2023-10-01 22:23:23 发布
最新推荐文章于 2023-10-01 22:23:23 发布
阅读量642 收藏
点赞数
分类专栏: 系统运维 PHP相关 文章标签: pdo mysql sql注入

使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严紧,就有SQL注入风险。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。

PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展来跟各个数据库的连接和处理,如 php_mysql.dll。 PHP6中也将默认使用PDO的方式连接,mysql扩展将被作为辅助 。官方地址:http://php.net/manual/en/book.pdo.php


1. PDO配置

使用PDO扩展之前,先要启用这个扩展,php.ini中,去掉"extension=php_pdo.dll"前面的";"号,若要连接数据库,还需要去掉与PDO相关的数据库扩展前面的";"号(一般用的是php_pdo_mysql.dll),然后重启Apache服务器即可。

[plain]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. extension=php_pdo.dll   
  2. extension=php_pdo_mysql.dll  

2. PDO连接mysql数据库

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. $dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password");  
默认不是长连接,若要使用数据库长连接,可以在最后加如下参数:

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. $dbh = new PDO("mysql:host=localhost;dbname=mydb","root","password","array(PDO::ATTR_PERSISTENT => true) ");   
  2. $dbh = null; //(释放)  

3. PDO设置属性

PDO有三种错误处理方式:

PDO::ERrmODE_SILENT不显示错误信息,只设置错误码

PDO::ERrmODE_WARNING显示警告错

PDO::ERrmODE_EXCEPTION抛出异常

可通过以下语句来设置错误处理方式为抛出异常

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. $db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);  
因为不同数据库对返回的字段名称大小写处理不同,所以PDO提供了PDO::ATTR_CASE设置项(包括PDO::CASE_LOWER,PDO::CASE_NATURAL,PDO::CASE_UPPER),来确定返回的字段名称的大小写。

通过设置PDO::ATTR_ORACLE_NULLS类型(包括PDO::NULL_NATURAL,PDO::NULL_EmpTY_STRING,PDO::NULL_TO_STRING)来指定数据库返回的NULL值在php中对应的数值。


4. PDO常用方法及其应用

PDO::query() 主要是用于有记录结果返回的操作,特别是SELECT操作

PDO::exec() 主要是针对没有结果集合返回的操作,如INSERT、UPDATE等操作

PDO::prepare() 主要是预处理操作,需要通过$rs->execute()来执行预处理里面的SQL语句,这个方法可以绑定参数,功能比较强大(防止sql注入就靠这个)

PDO::lastInsertId() 返回上次插入操作,主键列类型是自增的最后的自增ID 

PDOStatement::fetch() 是用来获取一条记录

PDOStatement::fetchAll() 是获取所有记录集到一个集合

PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段,缺省是第一个字段

PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集,对PDO::exec()方法和SELECT操作无效。


5.PDO操作MYSQL数据库实例

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php   
  2. $pdo = new PDO("mysql:host=localhost;dbname=mydb","root","");   
  3. if($pdo -> exec("insert into mytable(name,content) values('fdipzone','123456')")){   
  4. echo "insert success";   
  5. echo $pdo -> lastinsertid();   
  6. }   
  7. ?>  
[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php   
  2. $pdo = new PDO("mysql:host=localhost;dbname=mydb","root","");   
  3. $rs = $pdo -> query("select * from table");   
  4. $rs->setFetchMode(PDO::FETCH_ASSOC); //关联数组形式  
  5. //$rs->setFetchMode(PDO::FETCH_NUM); //数字索引数组形式  
  6. while($row = $rs -> fetch()){   
  7.     print_r($row);   
  8. }   
  9. ?>   
[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2. foreach$db->query( "SELECT * FROM table" ) as $row )  
  3. {  
  4.     print_r( $row );  
  5. }  
  6. ?>  
统计有多少行数据:

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2. $sql="select count(*) from table";  
  3. $num = $dbh->query($sql)->fetchColumn();  
  4. ?>  
prepare方式:

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2. $query = $dbh->prepare("select * from table");  
  3. if ($query->execute()) {  
  4.     while ($row = $query->fetch()) {  
  5.         print_r($row);  
  6.     }  
  7. }  
  8. ?>  
prepare参数化查询:

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2. $query = $dbh->prepare("select * from table where id = ?");  
  3. if ($query->execute(array(1000))) {   
  4.     while ($row = $query->fetch(PDO::FETCH_ASSOC)) {  
  5.         print_r($row);  
  6.     }  
  7. }  
  8. ?>  

另外一种写法:

<?php
$stmt  =  $dbh -> prepare ( "INSERT INTO REGISTRY (name, value) VALUES (:name, :value)" );
$stmt -> bindParam ( ':name' ,  $name );
$stmt -> bindParam ( ':value' ,  $value );
$name  =  'one' ;
$value  =  1 ;
$stmt -> execute ();
?>

使用PDO访问MySQL数据库时,真正的real prepared statements 默认情况下是不使用的。为了解决这个问题,你必须禁用 prepared statements的仿真效果。下面是使用PDO创建链接的例子:

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2. $dbh = new PDO('mysql:dbname=mydb;host=127.0.0.1;charset=utf8''root''pass');  
  3. $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);  
  4. ?>  
setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。

虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。


完整的代码使用实例:

[php]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?php  
  2. $dbh = new PDO("mysql:host=localhost; dbname=mydb""root""pass");  
  3. $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果  
  4. $dbh->exec("set names 'utf8'");   
  5. $sql="select * from table where username = ? and password = ?";  
  6. $query = $dbh->prepare($sql);   
  7. $exeres = $query->execute(array($username$pass));   
  8. if ($exeres) {   
  9.     while ($row = $query->fetch(PDO::FETCH_ASSOC)) {  
  10.         print_r($row);  
  11.     }  
  12. }  
  13. $dbh = null;  
  14. ?>  
上面这段代码就可以防范sql注入。为什么呢?

当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,它们是分开传送的,两者独立的,SQL攻击者没有一点机会。


但是我们需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入。

不能让占位符 ? 代替一组值,这样只会获取到这组数据的第一个值,如:

[sql]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. select * from table where userid in ( ? );  

如果要用in來查找,可以改用find_in_set()实现

[sql]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. $ids = '1,2,3,4,5,6';  
  2. select * from table where find_in_set(userid, ?);  

不能让占位符代替数据表名或列名,如:

[sql]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. select * from table order by ?;  
不能让占位符 ? 代替任何其他SQL语法,如:

[sql]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. select extract( ? from addtime) as mytime from table;  

anlityli
关注
专栏目录
PDO防止mysql注入(三种方式)
qq_36910975的博客
05-18 725
文章目录PDO的简述防止mysql的措施 PDO的简述 pdo数据对象扩展是php访问数据库的一个轻量级接口,PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 防止mysql的措施 使用quote过滤特殊字符,为SQL语句中的字符串添加引号,转为字符串 $dbms='mysql'; //数据库类型 $host='127.0.0.1'; //数据库主机名 $dbName='test'; //使用数据库 $user='root'
使用PDO查询mysql防止SQL注入
oBaiLaTu12的博客
03-10 512
demo文件<?php require_once 'config.inc.php'; $dbh = new PDO(DB_DSN, DB_USER, DB_PWD); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果 $dbh->exec("set names 'utf8'")
如何在一定程度上避免SQL注入
yukjin的专栏
05-31 709
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。     PDO(PHP Data Object)
使用PDO查询Mysql避免SQL注入风险
大头爸爸的博客
04-03 1933
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。         PDO(PHP Data Obje
Php中用PDO查询Mysql避免SQL注入风险的方法
10-27
标题中的“PHP中用PDO查询MySQL避免SQL注入风险的方法”指的是使用PHP的PDO(PHP Data Objects)扩展来执行数据库查询,从而降低SQL注入的风险。SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
PHP使用PDO实现mysql防注入功能详解
12-20
要有效防止SQL注入,应优先考虑使用预处理语句和参数绑定,其次可以使用 `PDO::quote()` 对用户输入进行转义。同,确保数据库连接配置正确,开启错误报告,以便及发现潜在问题。通过遵循这些最佳实践,可以极大...
使用PDOsql注入的原理分析
12-16
本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...
pdo mysql 防注入_关于PDOsql注入问题
weixin_34070493的博客
01-21 95
大部分常见数据库都支持prepare语句,以postgresql为例PREPARE fooplan (int, text, bool, numeric) ASINSERT INTO foo VALUES($1, $2, $3, $4);EXECUTE fooplan(1, 'Hunter Valley', 't', 200.00);第一句把insert prepare成为名为fooplan的sta...
php 使用PDO,防止sql注入 简单说明
1_bit 的博客
03-05 1865
PDO:php5假如以下是一个简单的登录处理:使用PDO连接mysql首先:新建数据库new PDO("mysql:host=localhost;dbname=test","root","root");host:服务器 dbname:数据库名 后面两个分别是帐号和密码 默认不是长连接如果想使用长连接需要在后面加入参数:new PDO("mysql:host=host;dbname=name",
PHP利用PDO实现mysql防注入
theVicTory的博客
03-17 1653
1、什么是注入攻击例如下例:前端有个提交表格: &lt;form action="test.php" method="post"&gt; 姓名:&lt;input name="username" type="text"&gt; 密码:&lt;input name="password" type="password&quot
PHP 之 pdo防止Sql注入
xcguoyu2916的博客
05-21 877
sql 注入 直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。  比如:在用户名输入框中输入:’or 1=1#,密码随便输入,这候的合成后的SQL查询语句为: select * from `表...
PDO方式连接mysql可以防注入的原因
黑猫mm的博客
05-04 476
1.  $stmt = $pdo-&gt;prepare('select * from user where id=?');     $id = 1;     $stmt-&gt;bindParam(1,$id);     $stmt - &gt;execute(); 这种情况下,PHP只是简单的将sql语句发送给mysql  server,这与我们平使用mysql_real_escape_st...
mysql prepare 防注入_使用 PDO 的 prepare 预处理,能 100%防止 SQL 注入吗?
weixin_32921593的博客
02-07 220
ovear2017-05-20 22:02:29 +08:00但为什么你不翻译完?或者我们通过同一个链接看到的版本不是一个? LOL>翻译完你给钱? 还有一种可能,要么是我的语文水平太差,要么是你英语太差要点是这样的,这是那个 PO 主的 Demo:$pdo->query('SET NAMES gbk');$var = "\xbf\x27 OR 1=1 /*";$query = 'SE...
mysql prepare 注入_PDO prepare足以防止SQL注入吗?
weixin_30340269的博客
02-07 631
这是一篇翻译的文章,可以点击查看原文。简单来说不能,PDO prepare无法防御全部的SQL注入攻击。比如一些潜在的边缘情况。我调整了这个答案以适应PDO的场景……完整的答案是不太容易,这篇文章证明了这种攻击的可能。攻击实现那么,接下来我来演示这种攻击……$pdo->query('SET NAMES gbk');$var = "\xbf\x27 OR 1=1 /*";$query = 'S...
mysql pdo prepare_MySQL pdo预处理能防止sql注入的原因
weixin_33661631的博客
01-19 472
MySQL pdo预处理能防止sql注入的原因:1、先看预处理的语法$pdo->prepare('select * from biao1 where id=:id');$pdo->execute([':id'=>4]);2、语句一,服务器发送一条sql给mysql服务器mysql服务器会解析这条sql。语句二,服务器发送一条sql给mysql服务器mysql服务器不会解析这条...
php使用预处理防止注入,PHP中使用PDO的预处理功能避免SQL注入
weixin_39898011的博客
03-20 114
使用预处理功能$id = $_GET['id'];$dsn = 'mysql:host=localhost;port=3306;dbname=database';try {$pdo = new PDO($dsn, $user, $pass);$sql = 'SELECT * FROM table where id = ' . $id;$stmt = $pdo->query($sql);$d...
为什么PDO预处理可以防御sql注入
最新发布
这个人很懒,没有描述。
10-01 335
预处理是一种防止 SQL 注入攻击的有效方法,因为它可以在将参数传递给 SQL 查询之前,将输入参数转义为安全格式。这是通过将 SQL 查询和输入参数分开处理实现的。攻击者可以通过将在这个例子中,?字符是占位符,代表输入参数。在执行查询之前,我们将用户名和密码绑定到查询上,而不是将它们作为字符串粘贴到查询中。这样,即使攻击者在输入中添加了恶意代码,它也不会影响查询的安全性。
MySQL SQL注入攻击详解与防范
MySQL作为广泛使用的开源关系型数据库管理系统,往往成为SQL注入的目标。攻击者利用应用程序对用户输入数据处理不当的漏洞,构造特定的输入,使得这些输入被解释为SQL命令的一部分,从而绕过验证,执行非授权的操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值