[后端代码审计] PHP 与 MySQL交互

最新推荐文章于 2024-09-13 18:48:07 发布
最新推荐文章于 2024-09-13 18:48:07 发布
阅读量1k 收藏 22
点赞数 29
分类专栏: PHP 后端 文章标签: php mysql 交互
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Da1NtY/article/details/141054224
版权

文章目录

前言

​ PHP(Hypertext Preprocessor)是一种开源的脚本语言,主要用于Web开发,特别是服务器端编程。是学习网络安全需要掌握的一门语言。

函数速查:

函数说明
mysqli_connect( )与MySQL数据库建立连接
mysqli_close( )关闭与MySQL数据库的连接
mysqli_connect_errno( )返回与MySQL数据库建立连接错误时的错误编号
mysqli_connect_error( )返回与MySQL数据库建立连接错误时的错误信息
mysqli_query( )执行SQL语句
mysqli_errno( )返回执行SQL语句错误时的错误编号
mysqli_error( )返回执行SQL语句错误时的错误信息
mysqli_fetch_assoc( )从结果集对象中取数据,按条取数据

1. 环境准备

在开始之前,请确保你已经安装了 PHP 和 MySQL,并且已启动了相关服务。

如果没有安装部署,可以查看文章 [Linux安全运维] LAMP 环境搭建保姆级教学(Apache + MySQL + PHP)

PHP与MySQL交互的过程可以分为4步:

  • 建立与MySQL连接
  • 执行SQL语句,返回结果集对象
  • 从结果集对象中获取数据
  • 关闭与MySQL连接

2. 连接 MySQL 数据库

2.1 使用 MySQLi 扩展

MySQLi 是 PHP 提供的扩展之一,支持面向过程和面向对象的方式连接 MySQL 数据库。

2.1.1 面向过程的方式

示例:

$servername = "localhost";
$username = "root";
$password = "";
$dbname = "testdb";

// 创建连接
$conn = mysqli_connect($servername, $username, $password, $dbname);

// 检查连接
if (!$conn) {
    die("连接失败: " . mysqli_connect_error());
}
echo "连接成功";

解释: 使用 mysqli_connect 函数连接数据库,若连接失败则输出错误信息。

2.1.2 面向对象的方式

示例:

$servername = "localhost";
$username = "root";
$password = "";
$dbname = "testdb";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}
echo "连接成功";

解释: 使用 new mysqli 创建一个数据库连接对象,检查连接是否成功。

3. 执行 SQL 查询

3.1 查询数据

示例:

$sql = "SELECT id, name, email FROM users";
$result = mysqli_query($conn, $sql);

if (mysqli_num_rows($result) > 0) {
    // 输出数据
    while ($row = mysqli_fetch_assoc($result)) {
        echo "ID: " . $row["id"] . " - Name: " . $row["name"] . " - Email: " . $row["email"] . "<br>";
    }
} else {
    echo "0 结果";
}

解释: 使用 mysqli_query 执行 SELECT 查询,mysqli_fetch_assoc 逐行获取结果数据。

3.1.1 结果集对象操作

mysqli_fetch_assoc结果集对象操作函数,下面是对结果集对象操作函数的说明:

函数速查:

函数说明
mysqli_fetch_row( )以索引数组的方式获取一条记录的数据
mysqli_fetch_assoc( )以关联数组的方式获取一条记录的数据
mysqli_fetch_array( )以索引数组或关联数组的方式获取一条记录的数据
mysqli_fetch_all( )以索引数组或关联数组的方式获取全部记录的数据
mysqli_fetch_rows( )获取结果集对象中数据条数
mysqli_fetch_result( )释放一个结果集相关的内存
//获取结果集对象中数据条数
var_dump(mysqli_fetch_rows($results));
//以关联数组的方式获取记录的数据
while($result = mysqli_fetch_assoc($results)){
    var_dump($result);
}
//使用表格的形式
while($result = mysqli_fetch_assoc($results)){
    echo "<tr>";
    echo "<td>"{$result['user_id']}"</td>"
        "<td>"{$result['user_name']}"</td>"
        "<td>"{$result['last_name']}"</td>"
        "<td>"{$result['user']}"</td>"
        "<td>"{$result['password']}"</td>";
    echo "</tr>";
}

3.2 插入数据

示例:

$sql = "INSERT INTO users (name, email) VALUES ('张三', 'zhangsan@example.com')";

if (mysqli_query($conn, $sql)) {
    echo "新记录插入成功";
} else {
    echo "错误: " . $sql . "<br>" . mysqli_error($conn);
}

解释: 使用 mysqli_query 执行 INSERT 语句,将数据插入数据库表。

3.3 更新数据

示例:

$sql = "UPDATE users SET email='newemail@example.com' WHERE id=1";

if (mysqli_query($conn, $sql)) {
    echo "记录更新成功";
} else {
    echo "错误: " . $sql . "<br>" . mysqli_error($conn);
}

解释: 使用 mysqli_query 执行 UPDATE 语句,更新数据库表中的数据。

3.4 删除数据

示例:

$sql = "DELETE FROM users WHERE id=1";

if (mysqli_query($conn, $sql)) {
    echo "记录删除成功";
} else {
    echo "错误: " . $sql . "<br>" . mysqli_error($conn);
}

解释: 使用 mysqli_query 执行 DELETE 语句,删除指定的记录。

4. 关闭连接

示例:

mysqli_close($conn);

解释: 使用 mysqli_close 关闭数据库连接。

5. 使用 PDO 扩展

PDO(PHP Data Objects)是另一种连接数据库的方式,支持多种数据库类型,提供了更强大的功能和更好的安全性。

5.1 创建 PDO 连接

示例:

$dsn = "mysql:host=localhost;dbname=testdb";
$username = "root";
$password = "";

try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "连接成功";
} catch (PDOException $e) {
    echo "连接失败: " . $e->getMessage();
}

解释: 使用 new PDO 创建连接对象,设置错误模式为异常。

5.2 执行 SQL 查询

示例:

$sql = "SELECT id, name, email FROM users";
$stmt = $pdo->query($sql);

while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
    echo "ID: " . $row["id"] . " - Name: " . $row["name"] . " - Email: " . $row["email"] . "<br>";
}

解释: 使用 PDO 的 query 方法执行 SELECT 查询,fetch 方法逐行获取数据。

5.3 使用预处理语句

示例:

$sql = "INSERT INTO users (name, email) VALUES (:name, :email)";
$stmt = $pdo->prepare($sql);

$stmt->bindParam(':name', $name);
$stmt->bindParam(':email', $email);

$name = '李四';
$email = 'lisi@example.com';
$stmt->execute();

解释: 使用 PDO 预处理语句提高安全性,防止 SQL 注入。

6. 错误处理

在进行数据库操作时,处理错误是非常重要的。使用 PDO 的异常处理机制或 MySQLi 的错误信息来处理和调试错误。

6.1 使用 MySQLi 错误处理

示例:

if (!$result) {
    echo "错误: " . mysqli_error($conn);
}

6.2 使用 PDO 错误处理

示例:

try {
    // 数据库操作
} catch (PDOException $e) {
    echo "错误: " . $e->getMessage();
}
Da1NtY0926
关注
专栏目录
代码审计】—PHP
haoaaao的博客
08-03 739
代码审计学习-PHP无框架项目SQL注入挖掘
基于PHP的产品报价系统的设计与开发(源代码+论文)1.zip
04-04
2. 后端设计:利用PHP作为服务器端脚本语言,处理用户请求,通过MySQL数据库存储数据。考虑到性能和安全性,应采用MVC(Model-View-Controller)架构,将业务逻辑、数据展示和用户交互分离。 3. 数据库设计:合理...
php代码审计思路,代码审计思路讨论
weixin_42561249的博客
04-02 598
原标题:代码审计思路讨论前言首先感谢手电筒的建议,建议我从Bluecms来开始学习代码审计。感谢桑桑格,风哥的问题解答。文章主要是写下我自己在代码审计的时候所思所想。当然并不是太过严谨,也有可能存在错误。这里主要是写出了审计SQL、XSS、CSRF、文件包含漏洞的思路。当然,还有比如变量覆盖,代码执行,逻辑漏洞,会话认证等等。以后有时间会整理。这里的思路是我自己的。当然也有大神有更好的想法。今后我...
PHP代码审计(全)
sechelper的博客
12-07 3889
PHP代码审计全流程,黑白盒测试,小技巧,实操案例
浅谈PHP代码审计之SQL注入
weixin_62369433的博客
06-26 569
在数据交互中,前端的数据传入到后台处理时,由于后端没有没有做过滤或过滤不严,则会导致其传入的恶意“数据”拼接到SQL语句中,被当作SQL语句的一部分执行。漏洞产生于脚本,注入是针对数据库进行。利用条件:从前端传给后端的参数内容是用户可以控制的。传入的参数拼接到 SQL 语句,且带入数据库查询。
PHP代码审计归纳-Ali0th
木禾
04-24 641
Author : 木禾/Ali0th Date : 2018-3-21 Email : martin2877@foxmail.com 说明 :个人归纳的php漏洞类型,有修改请私信或留言。 大家好,我的网名是木禾,技术领域的 ID 是 Ali0th,这一篇是我在18年编写的PHP代码审计归纳,之前发在了 t00ls 和 gtihub 上,现在经营着这个博客,也把以前写的东西慢慢搬上来。如果...
PHP代码审计入门-XSS漏洞代码入门分析
身高两米不到的博客
10-24 768
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单的php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈学习记录,看看曾经遥不可及的代码审计能不能慢慢啃下来。这里使用的加固方法,是使用htmlentities()函数,函数作用是将字符转换为html实体编码,在一定程度上能实现对XSS的防御。首先展示经典的XSS弹窗。反射型,一次性攻击,危害低,仅对当前访问页面有效,常出现搜索框。
深入理解PHP基础【代码审计实战指南】
2301_80064376的博客
07-21 1054
PHP是一种广泛应用于Web开发的开源脚本语言,易学且功能丰富,可用于动态网站、Web应用、命令行脚本和桌面应用。其强大的数据库支持和社区资源使它成为开发者的重要工具。
小迪渗透&代码审计(柒)
weixin_41665162的博客
10-22 1549
文章目录50. PHP无框架项目SQL注入挖掘技巧(50-57)演示案例:技巧分析:51. PHP框架MVC类上传断点调试挖掘演示案例涉及资源52. PHP项目类RCEA及文件包含下载删除漏洞关键字:通用关键字:演示案例:53. TP5框架及无框架覆盖反序列化漏洞关键字:通用关键字:演示案例:变量覆盖配合文件包含实现任意文件包含反序列化Thinkphp5 简要知识点涉及资源54 TP5框架审计写法分析及代码追踪演示案例:涉及资源: 50. PHP无框架项目SQL注入挖掘技巧(50-57) 代码审计教学计划
43-代码审计(工具Fortify 、Seay审计系统安装及漏洞验证)
XLbb的博客
05-31 1992
检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。工具Fortify 漏洞审计分析:根据工具扫描结果分析风险漏洞成因,手工跟踪相关函数及变量,测试漏洞是否可利用、排除误报可能。通过工具修复建议,手工修复相关漏洞。Seay源代码审计系统使用 Seay是一套开源代码审计系统,使用C# 编写,需要.NET2.0以上版本环境才能运行
基于php+mysql日志审计管理系统
05-25
系统可能提供API接口,允许其他应用或服务与之交互,发送日志数据或获取审计报告。RESTful API设计原则将被遵循,以确保接口的简洁性和易用性。 8. **前端界面**: 使用HTML、CSS和JavaScript构建的用户界面,如...
PHP基于Web的subversion用户管理系统(源代码).zip
03-26
2. PHP后端:处理HTTP请求,与MySQL交互,执行业务逻辑。 3. Subversion服务器:存储和管理项目代码,通过PHP接口与用户管理系统进行通信。 4. 数据库连接:PHP使用MySQLi或PDO扩展与MySQL建立连接,执行SQL语句。 ...
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 822
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
SEAFARING靶场渗透
最新发布
kknifek的博客
09-13 358
??echo '<??
以太坊开发环境
禅与代码的艺术
09-07 1385
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1766
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
PLC(电力载波通信)网络机制介绍
u010467490的博客
09-08 1267
电力载波通讯即PLC,是英文Power line Carrier的简称。电力载波是电力系统特有的通信方式,电力载波通讯是指利用现有电力线,通过载波方式将模拟或数字信号进行高速传输的技术。最大特点是不需要重新架设网络,只要有电线,就能进行数据传递。CCO在所有相线上工作,STA只在一个相线上工作,不同相位具有不同的过零时间,CCO通过采集STA的过零时间确定STA的相位时分多址传输,设备独占间隙,数据包根据指定时间进行发送载波侦听多路访问/冲突检测,设备共同占有间隙,判断信道空闲,竞争进行发送。
第四届长城杯部分wp
weixin_74427106的博客
09-09 767
还是太菜了,要经常练了。
数据库mysql如何与PHP编写的后端代码连在一起
05-22
要将 MySQL 数据库与 PHP 后端代码连接在一起,你需要使用 PHP 提供的 MySQL 扩展程序。 以下是连接 MySQL 数据库的基本步骤: 1. 在 PHP 代码中使用 `mysqli_connect()` 函数连接到 MySQL 数据库服务器: ```php...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Da1NtY0926

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值