关于PDO防sql注入问题

最新推荐文章于 2023-10-01 22:23:23 发布
最新推荐文章于 2023-10-01 22:23:23 发布
阅读量607 收藏
点赞数 1
文章标签: pdo sql注入 php web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueling022/article/details/49928427
版权

在php类似的web开发应用程序中,SQL的注入问题,总是围绕着安全问题,挥之不去,那么如何真正做好你的SQL过滤呢.PHP官方推荐的PDO即可以轻松搞定关于SQL注入的问题,也可以提升SQL执行效率,一举两得的事情为什么不去做呢?所以今天为大家说说关于PHP的防止SQL注入问题的思考,不废话了下面代码实例.

普通防止sql注入方式, 下面以登录为列

第一步: 先链接数据库
try{
    $user = 'xxx'; // 用户名
    $pwd = 'xxx';// 密码
    $dbname = "xxx"; // 数据库
    $pdo = new PDO("mysql:dbname=$dbname",$user, $pwd);
}catch(PDOException $e){
    echo $e->getMessage();
}

// 防止sql注入第一种方式
// 下面接收从表单提交过来的用户名和密码
// $username = $_POST['username']; // 这样会造成sql注入漏洞
$username = addslashes($_POST['username']); // 使用addslashes()这个函数滤非法字符,防止sql注入.
$password = $_POST['password'];
$sql = "SELECT * FROM user WHERE username=$username AND pwd = '{$pwd}'";
$stmt = $pdo->query($sql);
echo $stmt->rowCount(); // 返回受影响的行数

// 第二:使用PDO::quote()方法防止sql注入,过滤非法字符
$username = $pdo->quote($_POST['username'], PDO::PARAM::STR); //quote()方法有两个参数, 第一个参数为要过滤的字段, 第二个为指定当前字段类型, 默认为字符型
xueling022
关注
pdo mysql 注入_记录一下学习PDO技术SQL注入的方法
weixin_32512451的博客
01-28 344
一、 什么是PDOPDO全名PHP Data ObjectPHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。二、如何去使用PDOSQL注入?/sql注入这里使用quate()方法过滤特殊字符和通过预处理的一些方式以及bindParameter()方...
PDO防止sql注入的机制
杨森源的博客
03-29 4548
上面这段代码就可以sql注入。为什么呢? 当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。
pdo mysql 注入_关于PDOsql注入问题
weixin_34070493的博客
01-21 95
大部分常见数据库都支持prepare语句,以postgresql为例PREPARE fooplan (int, text, bool, numeric) ASINSERT INTO foo VALUES($1, $2, $3, $4);EXECUTE fooplan(1, 'Hunter Valley', 't', 200.00);第一句把insert prepare成为名为fooplan的sta...
PDO防止SQL注入详细介绍
乐杨俊浅谈LAMP
07-23 1332
PDO防止SQL注入详细介绍
php mysql pdo 注入,Php中用PDO查询Mysql来避免SQL注入风险的方法
weixin_33685133的博客
03-21 166
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
使用PDOsql注入的原理分析
12-16
本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...
360提供的phpsql注入代码修改类
05-02
为了防止SQL注入,我们需要遵循以下原则: 1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据...
关于防止sql注入的几个知识点
12-14
但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。  1.3:另外pdo预处理无效的地方:  1.3.1:limit语句  1.3.2:like%?%.不能这么使用,占位符必须代表整个字符。所以可以这
防止sql注入工具类l
03-22
防止SQL注入是每个Web开发者必须关注的重要问题。在这个主题中,我们将深入探讨“防止SQL注入工具类”的相关知识点,以及如何在实际开发中有效地应用这些工具。 首先,我们需要理解SQL注入的基本原理。当应用程序...
为什么PDO预处理可以sql注入
最新发布
这个人很懒,没有描述。
10-01 332
预处理是一种防止 SQL 注入攻击的有效方法,因为它可以在将参数传递给 SQL 查询之前,将输入参数转义为安全格式。这是通过将 SQL 查询和输入参数分开处理实现的。攻击者可以通过将在这个例子中,?字符是占位符,代表输入参数。在执行查询之前,我们将用户名和密码绑定到查询上,而不是将它们作为字符串粘贴到查询中。这样,即使攻击者在输入中添加了恶意代码,它也不会影响查询的安全性。
PHP使用PDO如何防止SQL注入_PDO防止SQL注入原理
qq_37910492的博客
01-16 3574
PDOPHP的一个扩展,使用PDO扩展可以连接不同类型的数据库系统,但是我们还是需要自己编写SQL语句,这就意味着SQL安全由开发人员掌控。传统的mysql_connect 、mysql_query方法存在很多注入风险,而使用PDO预处理机制可以有效的防止SQL注入风险   连接数据库 现在我们需要连接到一个名为testdb的MySQL数据库,这个数据库的IP地址是127.0.0.1,监听...
PDO预处理是如何防止SQL注入
y0un9er
05-13 2224
通过日志分析PDO是如何防止SQL注入
PHP+Mysql防止SQL注入的方法:
guok的博客
04-19 860
方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_real_es...
pdo调用方法以及sql注入原理
热门推荐
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
PHPPDO预编译SQL注入
anan的博客
07-21 2788
很多对代码不熟悉的朋友总觉得PDO能够有效防止SQL注入,其实真正防止SQL注入的是php预处理,你可以使用mysqli面向对象预处理、面向过程预处理,也可以使用PDO预处理,其实真正起作用的还是预处理。下面的代码会表达出PDO预处理的精髓! $dbms = 'mysql'; $db_host = 'localhost'; $db_user = 'root'; $db_pass = 'root';...
PHP使用PDO简单实现防止SQL注入的方法
NII的博客
09-11 1846
方法一:execute代入参数  <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num = 0; $pdo = new PDO("mysql:host=$host;dbname=$database", $u...
mysql pdo 安全_PDO防止sql注入的原理
weixin_31427047的博客
01-27 363
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制。预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
PDO预处理SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6430
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
PDO预处理能防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入。预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值