pdo调用方法以及防sql注入原理

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/dengjiexian123/article/details/53863038

前言

在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行防护。
目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有很高的安全性。

一、什么是PDO

首先简单介绍一下什么是PDO。PDO是PHP Data Objects(php数据对象)的缩写。是在php5.1版本之后开始支持pdo。你可以把pdo看做是php提供的一个类。它提供了一组数据库抽象层API,使得编写php代码不再关心具体要连接的数据库类型。你既可以用使用pdo连接mysql,也可以用它连接oracle。并且pdo很好的解决了sql注入问题。

二、如何操作PDO

1、实例化对象:

	try
        {
            $pdo = new PDO("mysql:host=$host;port=$port;dbname=$dbName",
                $userName,
                $password,
                array(PDO::ATTR_PERSISTENT => true,
                PDO::ATTR_TIMEOUT => 5)
            );
            //PDO::ATTR_PERSISTENT => true  将连接类型设置为持久连接,避免脚本每次需要与数据库对话时都要部署一个新的链接,减少了资源消耗
            //PDO::ATTR_TIMEOUT => 5  设置数据库连接超时的时间为5秒
            $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);//修改默认的错误显示级别
            $pdo->query("SET NAMES 'utf8'");
            $pdo->query("SET character_set_client=binary");
        }
        catch (Exception $e)
        {
            throw new PDOException($e->getMessage()." in function construct port:".$port." db_name:".$dbName, 90100);
        }
实例化的过程很清晰,不必多说。

2、对sql进行预处理

$sql = "select * from the_table where id = ? and uid = ?";
$st = $pdo->prepare($sql);
实例化pdo对象之后,首先是对请求mysql的sql语句做预处理。在这里,我们使用了占位符的方式,将该sql传入prepare函数后,预处理函数就会得到本次查询语句的sql模板类,并将这个模板类返回,模板可以防止传那些有猫腻的变量改变本身查询语句的语义。

3、绑定查询参数

$st->bindValue(1,15);
$st->bindValue(2,20001);
或者
$id = 15;
$uid = 20001;
$st->bindParam(1,$id);
$st->bindParam(2,$uid);
对sql模板绑定参数,可以使用两种方法,bindValue和bindParam,通过代码能看出区别,bindValue是传入值,bindParam是传入变量。其中两个函数中的第一个参数“数字”代表为占位符中的第几个参数。

4、执行语句

$st->execute();
$result = $st->fetchAll();
execute( )执行预准备语句,fetchAll( )返回包含所有结果集行的数组。

pdo的整个执行使用过程就是这样,我觉得最重要的一步就是理解如何绑定查询参数。

二、PDO如何解决sql注入

在php5.3.6之后,pdo不会在本地对sql进行拼接然后将拼接后的sql传递给mysql server处理(也就是不会在本地做转义处理)。pdo的处理方法是在prepare函数调用时,将预处理好的sql模板(包含占位符)通过mysql协议传递给mysql server,告诉mysql server模板的结构以及语义。当调用execute时,将两个参数传递给mysql server。由mysql server完成变量的转移处理。将sql模板和变量分两次传递,即解决了sql注入问题。

总结

对我自己而言,学习PDO的心路历程是这样的,首先是在工作中需要杜绝安全隐患,所以了解到pdo可以很好解决,于是去学习pdo防sql注入的原理,然后再是如何使用pdo。本文用相反的逻辑去讲述使用pdo和pdo防sql注入的原理,我觉得更利于新人学习。
以下是我在学习中参考的重要文章:
pdo防sql注入原理
pdo函数详解



没有更多推荐了,返回首页