PHP中使用参数化查询

最新推荐文章于 2021-03-23 19:52:12 发布
最新推荐文章于 2021-03-23 19:52:12 发布
阅读量6.6k 收藏 2
点赞数 1
分类专栏: PHP

PHP 中提供了三种访问 MySQL 数据库的扩展,即 mysql,mysqli 和 PDO。它们的区别可以比较如下:

扩展mysqlmysqliPDO
PHP 版本2.0+5.0+5.1+
生命周期废弃活跃活跃
面向对象语法
过程式语法
服务器端预处理语句
客户端预处理语句

上面所说的预处理语句就是用于参数化查询的。可以看到,除了旧的 mysql 扩展不支持,mysqli 和 PDO 这两个新扩展都支持参数化查询。PDO 扩展相比 mysqli 扩展的好处是,它是与关系数据库类型无关的,因此很方便切换数据库,比如从 MySQL 切换到 PostgreSQL。


首先我们来看看利用 mysqli 扩展如何使用参数化查询。例如:

$mysqli = new mysqli("localhost","dbusername", "dbpassword", "database");
 
$username= "somename";
$password= "someword";
 
$query = "SELECT filename, filesize FROM users WHERE (name = ?) and (password = ?)";
 
$stmt = $mysqli->stmt_init();
 
if ($stmt->prepare($query)) {
    $stmt->bind_param("ss",$username, $password);
    $stmt->execute();
 
    $stmt->bind_result($filename,$filesize);
    while($stmt->fetch()) {
        printf ("%s : %d\n",$filename, $filesize);
    }
    $stmt->close();
}
 
$mysqli->close();


再看看用 PDO 扩展如何使用参数化查询。例如:

$pdo = new PDO("mysql:host=localhost;dbname=database","dbusername", "dbpassword");
 
$username= "somename";
$password= "someword";
 
$query = "SELECT * FROM users WHERE (name = :username) and (password = :password)";
 
$statement= $pdo->prepare($query,array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$statement->bindParam(":username",$username, PDO::PARAM_STR, 10);
$statement->bindParam(":password",$password, PDO::PARAM_STR, 12);
$statement->execute();
 
while ($row = $statement->fetch(PDO::FETCH_ASSOC)) {
  printf ("%s : %d\n",$row["filename"],$row["filesize"]);
}
$statement->closeCursor();
 
$pdo = null;



PHPService
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pdo 参数查询 mysql函数_PDO:预处理语句(参数查询
weixin_39732716的博客
02-02 381
@(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very important feature k...
PDO预处理语句PDOStatement对象使用总结
u011252402的专栏
08-05 2317
PDO预处理语句PDOStatement对象使用总结 PDO对预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例出来的,而是通过PDO对象的prepare()方法,在数据库服务器准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象。而如果
php 参数查询
weixin_34018202的博客
06-23 335
在学习注入时,MetInfo cms出现一个注入点,我寻到源代码: $show = $db->get_one("SELECT * FROM $met_column WHERE id=$id and module=1"); 不懂php,看到这个,就误以为这是参数参数不是可以防注入么,怎么还会有注入点呢。 后面深入了解发...
pdo 使用参数查询 sql
weixin_34051201的博客
08-10 154
http://anfirst.cn/archives/1030 方法 bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。view sourceprint?01    $stm = $pdo->prepare("...
pdo 参数查询 mysql函数_PDO笔记之参数查询
weixin_42369343的博客
02-02 317
参数查询解释在这里:Wiki参数查询(少有的Wiki文比英文介绍的要详细的编程条目)PDO参数查询主要用到prepare()方法,然后这个方法会返回一个PDOStatement对象,也就SQL声明(不知道怎么翻译),此时SQL语句只是被编译,但并未执行,调用PDOStatement方法后会执行SQL语句,如下示例:$sm = $db->prepare('SELECT login...
pdo使用参数查询sql
01-20
唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。 所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。 复制代码 代码如下: $stm = $pdo->prepare(“select...
PHP常用编译参数文说明
10-25
PHP的开发和部署过程,编译参数的设置至关重要,它们直接影响着PHP的性能、功能以及与外部服务的集成。以下是一些常见的PHP编译参数的详细解释: 1. `--prefix=/usr/local/php`:指定PHP的安装目录,所有编译后...
PHP串行用法示例
10-21
此方法无需参数,但应返回一个数组,该数组包含类需要被串行的属性。在`Person`类,`__sleep()`仅返回`"age"`和`"name"`,意味着只有这两个属性会被串行。`$sex`属性由于未包含在返回数组,所以不会被串行...
php使用GD库做验证码
10-22
生成的随机字符串存储到`$_SESSION`变量,以便在后续的表单验证使用。 6. **选择字体和设置文字**: 随机选择字体文件,这里使用了SIMKAI.TTF字体,也可以添加更多的字体文件。接着,对于每个字符,计算其在...
PHP获取当前日期和时间及格式方法参数
10-24
下面我们将深入探讨`date()`函数的使用以及相关的格式参数。 `date()`函数的基本语法是 `date(format, timestamp)`,其`format`参数是必需的,用于指定日期和时间的输出格式,而`timestamp`参数是可选的,用于...
php mysqli参数查询,PHP MySQLi参数查询不起作用
weixin_39932300的博客
03-18 278
我正在将当前未受保护的查询更新为参数查询,以防止受到SQL注入.我花了几个小时试图对这个问题进行排序,但是找不到问题,非常感谢任何帮助.在(echo $row [‘storeID’];)之前工作$storeName = mysqli_real_escape_string($conn,$_GET['store']);$query = "SELECT * FROM stores WHERE stor...
php mysql 参数_PHP参数函数
weixin_28884213的博客
01-28 111
PHP参数函数是带有参数的函数。 您可以在函数传递任意数量的参数。 这些传递的参数作为函数的变量。它们在函数名称之后,在括号内指定。输出取决于作为参数传递到函数的动态值。PHP参数示例1加减法在这个例子,我们在两个函数add()和sub()传递了两个参数$x和$y。文件:para.php参数加法和减法示例//Adding two numbersfunction add($x, $y)...
php mysql 参数_PHP MySQLi参数查询不起作用
weixin_42405503的博客
01-28 135
如果查看mysqli_stmt_fetch的文档,则会看到以下说明:Fetch results from a prepared statement into the bound variables$storeName = $_GET['store'];$stmt = mysqli_prepare($conn, "SELECT * FROM stores WHERE storeName = ?");...
php 参数 注入,参数查询为什么可以避免sql注入呢?
weixin_35829704的博客
03-16 398
1.问题描述参数查询为什么可以避免sql注入呢?2.补充说明关于sql注入事实上有2个问题,第一,什么是sql注入?第二,如何避免sql注入?第一个问题网上的资料说的很清楚,这个容易理解。但是如何避免sql注入呢,归结为一句话,就是使用参数查询,而不要使用字符串拼接————可是不管是参数查询(即PreparedStatement的占位符),还是拼接字符串,最终不都是要执行一个一模一样的sql...
php pdo参数,php – 用PDO准备参数查询
weixin_42510222的博客
03-21 218
创建连接try {$db = new PDO("mysql:dbname=".DB_NAME.";host=".DB_HOST,DB_USER,DB_PWD);} catch (PDOException $e) {die("Database Connection Failed: " . $e->getMessage());}然后准备一份声明$prep = $db->prepare("S...
php mysql 参数 查询,mysql sql php 参数查询
weixin_31031155的博客
03-10 699
参数查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数查询,会让程序更不好维护,或者在实现部份功能上会非常...
什么是php参数传递,PHP参数函数
weixin_36410077的博客
03-23 142
本篇文章帮大家学习php参数函数,包含了PHP参数函数使用方法、操作技巧、实例演示和注意事项,有一定的学习价值,大家可以用来参考。PHP参数函数是带有参数的函数。 您可以在函数传递任意数量的参数。 这些传递的参数作为函数的变量。它们在函数名称之后,在括号内指定。输出取决于作为参数传递到函数的动态值。PHP参数示例1加减法在这个例子,我们在两个函数add()和sub()传递了两个参...
php pdo参数,php – 如何正确地使用PDO对象的参数SELECT查询
weixin_30596433的博客
03-21 149
您选择这样的数据:$db = new PDO("...");$statement = $db->prepare("select id from some_table where name = :name");$statement->execute(array(':name' => "Jimbo"));$row = $statement->fetch(); // Use fe...
参数 ${参数名}
专栏
09-19 793
import java.io.IOException; import java.io.StringReader; import java.util.Iterator; import java.util.LinkedList; import java.util.Map; import java.util.Set;import org.slf4j.Logger; import org.slf4j.Log
如何使用参数查询来防护Cookie注入攻击
最新发布
06-07
Cookie注入攻击通常是通过在Cookie注入恶意代码来实现的,攻击者可以通过这种方式窃取用户的敏感信息或者进行会话劫持。为了防止这种攻击,可以使用参数查询来避免直接将用户输入作为SQL查询语句的一部分。 具体来说,参数查询是将SQL查询语句的变量部分使用占位符来代替,然后将真实的参数值通过参数绑定的方式传递给数据库引擎。这样可以避免用户输入的特殊字符被当做SQL命令执行。 例如,在PHP,可以使用PDO(PHP Data Objects)扩展来实现参数查询。以下是一个使用PDO来查询用户的Cookie信息的例子: ``` // 建立数据库连接 $db = new PDO('mysql:host=localhost;dbname=mydb;charset=utf8mb4', 'username', 'password'); // 准备SQL查询语句 $stmt = $db->prepare('SELECT * FROM users WHERE cookie=:cookie'); // 绑定参数 $stmt->bindParam(':cookie', $_COOKIE['user_cookie']); // 执行查询 $stmt->execute(); // 获取结果 $results = $stmt->fetchAll(PDO::FETCH_ASSOC); ``` 在上面的例子使用了占位符`:cookie`来代替用户输入的Cookie值。然后使用`bindParam`方法将真实的Cookie值绑定到占位符上,最后执行查询并获取结果。 使用参数查询可以有效地防止Cookie注入攻击,因为参数查询将用户输入与SQL查询语句分离开来,使得恶意注入的代码无法被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值