1.PHP数据库陷阱

最新推荐文章于 2024-08-19 13:32:03 发布
最新推荐文章于 2024-08-19 13:32:03 发布
阅读量450 收藏
点赞数
分类专栏: MySQL 文章标签: 数据库

这里写图片描述

表数据:

create table users
(
  id int primary key auto_increment,
  username varchar(64) unique not null,
  password varchar(64) not null,
  email varchar(64) not null
);

insert into users(username,password,email) values('aaa','aaa','aaa@qq.com');
insert into users(username,password,email) values('bbb','bbb','bbb@qq.com');

这里写图片描述
这里写图片描述

$sql = "select * from users where username=$username and password=$password ";

$sql = "select * from users where username='$username' and password='$password'";

没有单引号的话,当做数值处理。
<html>
<head>
    <meta http-equiv="content-type" content="text/html;charset=utf-8"/>
</head>
<?php
$username = $_POST['username'];
$password = $_POST['password'];

$link = mysql_connect('localhost','root','123456');

if (!$link) {
    die(mysql_error());
} else {
    echo '连接成功<br/>';
}

mysql_select_db('test') or die(mysql_error());

//第一种写法
$sql = "select * from users where username='$username' and password='$password' ";

//使用万能密码,密码框输入  bb' or 1='1
//select * from users where username='aaa' and password='bb' or 1='1'

//万能用户名,
//  select * from users where username='abb' union select * from users;/*
//$sql = "select * from users where username='abb' union select * from users/*\ ";

$res = mysql_query($sql,$link);

if (mysql_num_rows($res) != 0) {
    //跳转到管理页面
    header('Location:ManageUser.php');
} else {
    echo '您输入的用户名或者密码有误' . "<a href='Login.php'>返回登陆页面</a>";
}
?>
</html>

如何解决 SQL 注入
这里写图片描述

解决方法1:
这里写图片描述

//防范防范1:密码比对
$sql = "select password from users where username='$username' ";
$res = mysql_query($sql,$link);
//取出密码
if ($row = mysql_fetch_row($res)) {
    //说明该用户名存在
    //var_dump($row);die;
    if ($row[0] == $password) {
        //该用户合法
        header('Location:ManageUser.php');
    } else {
        echo '您输入的用户名或者密码有误' . "<a href='Login.php'>返回登陆页面</a>";
    }
} else {
    echo '您输入的用户名不存在' . "<a href='Login.php'>返回登陆页面</a>";
}

解决方法2:
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述

<?php
$username = $_POST['username'];
$password = $_POST['password'];

$sql = "select * from users where username=? and password=?";
//使用 pdo
//1.创建一个 pdo 对象
$myPdo = new PDO("mysql:host=localhost;port=3306;dbname=test",'root','123456');
//2.设置编码 utf8 没有 -
$myPdo->exec("set names utf8");
//3.预处理
$pdoStatement = $myPdo->prepare($sql);
//4.把接收到的用户名和密码绑定
$pdoStatement->execute(array($username,$password));
//5.取出结果
$res = $pdoStatement->fetch();
if (empty($res)) {
    echo "你的用户名或密码有误<a href='Login.php'>返回重新登陆</a>";
} else {
    header('Location:ManageUser.php');
}
?>
enlyhua
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP数据库陷阱-数据库安全知识集合
08-16
### PHP数据库陷阱-数据库安全知识集合 随着互联网技术的发展,Web应用程序的安全问题变得越来越重要,尤其是对于使用PHP语言开发的应用程序来说。SQL注入是目前最常见的Web应用安全威胁之一,据估计,超过70%的...
MySQL韩顺平数据库编程陷阱【8集】
07-23
韩顺平.PHP视频教程.Mysql编程陷阱.笔记.图解【】传智播客PHP培训.韩顺平.PHP视频教程.Mysql编程陷阱.项目代码【】传智播客PHP培训.韩顺平.PHP视频教程.Mysql编程陷阱1.sql注入原理解释【】传智播客PHP培训.韩顺平....
数据库中<>的陷阱
gaoyan601的博客
11-01 373
有如下数据: ID       char null    t 123    r 123    e 234    y 345    u select * from table where id 查询的结果 为234 y  和345 u,null t  不会被查出来
数据库设计新手容易掉进的陷阱(不断更新中)
hirvonen的专栏
01-22 1043
因为要帮同学做个电子商务的网站,不得不把从毕业起就扔掉的数据库设计实现重新捡了起来。 话说从毕业到现在十几年的时间,自己在编程方面没多少长进,天天写的也都是些业务逻辑代码,想想也真是为自己叹一口气。 不管怎么说,以现在这个为契机重新开始吧。 废话少说直接进入正题,下面列出的都是我走的弯路,在这里汇总整理一下。 (其实都是些很基础的东西,因为我等于是从0开始直接上手,以赛代练,所以走弯路ms
php给mysql制造假数据
机智的豪哥专栏
09-03 429
为什么要制造假数据 进行压力测试,sql练习 think-orm进行数据库操作。 faker 得到加数据,只用了name和phoneNumber两种类型,实际有好多种类型 CREATE TABLE `test2` ( `id` int(10) NOT NULL AUTO_INCREMENT, `name` varchar(255) NOT NULL, `phone` char(...
faker假数据php,3分钟短文:看傻眼!Laravel给数据库造假竟成工具链
weixin_36486277的博客
04-03 106
引言上一章我们了解了使用laravel迁移功能创建数据库表,把DBA的工作挪到开发端,这样把岗位都省出来了。但是只有光秃秃的数据库表,有个壳子没有数据确实没啥用。本文为大家讲讲laravel怎么给数据库造假数据,堂而皇之地假装生产。本文使用的构建方式都是写脏数据,乱数据,无实质意义的数据,只对应用程序和数据库有用,别的嘛用没有!代码时间就好比说种地要有种子,有了种子就可以长出庄稼和粮食;子子孙孙无...
织梦模板(dedecms) 文章页调用 浏览次数(阅读量,访问量)
乐逍遥
07-18 5368
使用DedeCMS建站时,在文章页的信息页面,官方给出的调用文章浏览次数的标签是: {dede:field.click/} 这个标签调用的是静态浏览次数,也就是我们生成文章时的那个随机生成的浏览次数,这里不论在文章页怎么刷新都不会增加浏览次数,用户体验十分差。 网上有解决方法,即把调用标签换为: <scriptsrc="{dede:field name='phpurl'/}/co...
PDO 与 MySQLi:PHP 数据库 API 之战
allway2的博客
08-19 889
正如前面多次提到的,MySQLi 的生存依赖于它赶上 PDO,同时 PDO 主要坚持在它支持的大多数 DB 驱动程序中使用的特性。具有讽刺意味的是,更有经验的 PHP 开发人员倾向于在 100% 的情况下认为 PDO 是唯一可接受的选项,而初学者则倾向于使用 MySQLi。对于本教程的其余部分,我们将使用准备好的语句,因为没有充分的理由不将它们用于 SQL 注入保护,除非您使用的是 async 之类的功能,该功能目前不支持它们。对于本文,我将使用本机准备好的语句,但模拟的语句也完全可以接受。
php数据库安全措施,为您介绍5个 PHP 安全措施(摘)
weixin_35895753的博客
03-20 236
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把应用程序设置稍作调整即可完成。1:管理安装脚本如果开发人员已经安装了一套第三方应用程序的PHP脚本,该脚本用于安装整个应用程序的工作组件,并提供一个接...
php操作mysql数据库的扩展有哪些_PHP操作MySQL数据库的扩展有MySQL扩展、
weixin_39628180的博客
01-20 745
【单选题】二阶振荡环节的对数幅频特性的高频段的渐近线斜率为_______dB/dec。 ( )【论述题】根据上一章作业,完成将Web页面之间交互,使提交的信息在新的页面中显示。【简答题】已知某单位反馈系统的开环传递函数为 ,绘制该系统以根轨迹增益Kr为变量的根轨迹(求出:分离点、与虚轴的交点等)【单选题】控制系统的稳态误差反咉了系统的_______________。【填空题】. 硬度是金属材料的重...
PHP 多线程和异步编程的常见陷阱
likeshopgood的博客
07-23 383
本文由团队出品在PHP开发中,多线程和异步编程是提高应用性能和响应速度的重要手段。然而,这些技术也带来了许多挑战和陷阱,如共享状态冲突、死锁、超时、资源泄漏以及调试困难等。本文将详细探讨这些陷阱,并提供相应的解决方案和代码示例。
计算机后端-PHP视频教程. mysql优化陷阱.wmv
05-22
计算机后端-PHP视频教程. mysql优化陷阱.wmv
计算机后端-PHP视频教程. php与mysql加强- 07. php加强18-子句查询陷阱.wmv
05-22
计算机后端-PHP视频教程. php与mysql加强- 07. php加强18-子句查询陷阱.wmv
php.rar_php
09-20
1. **了解基本语法**:学习PHP的变量、数据类型、控制结构(如条件语句和循环)、函数定义和调用等基础概念。 2. **深入函数库**:掌握PHP内置的大量函数,如字符串处理、数组操作、文件系统交互、网络编程等。 3. *...
webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
08-15 269
【代码】webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构。
linux安装达梦数据库
最新发布
HAN_789的博客
08-19 99
如果无法创建dmdba 文件夹,需要进入root用户下 在管理员用户下,这种安装方式一般只用于验证,开发,测试,生产最好还是安装传统的方式安装。在 home/dmdba/dmdbms/bin 目录下执行。(1)将文件上传到 /home/dmdba/ 目录下。(2)加压:tar -xzvf dmdb.tar.gz。进入到root就可以创建dmdba 文件夹了。1、后台启动,一般建议用后台启动。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 410
【代码】springboot网上商品订单转手系统bootpf
mysql介绍
weixin_57763462的博客
08-14 396
丰富的存储引擎:MySQL 提供了多种存储引擎,如 InnoDB、MyISAM、Memory 等,每种存储引擎都有其特定的应用场景和优势。多语言支持:MySQL 支持多种编程语言,包括 C、C++、Python、Java、Perl、PHP 等,并提供了相应的 API。安全性:MySQL 提供了灵活的权限和密码系统,支持基于主机的验证,并且所有的密码传输都采用加密形式,确保了数据的安全性。管理工具:MySQL 提供了丰富的管理工具,如命令行客户端、图形界面管理工具等,方便用户进行数据库的管理和维护。
探索PHP的优点:Peter B. MacIntyre的见解
1. **PHP基础**:介绍PHP的基本语法,变量、数据类型、流程控制结构(如if-else、for、while循环)以及函数的使用。 2. **字符串与数组操作**:讲解PHP如何处理字符串和数组,包括字符串拼接、搜索、替换,以及数组...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值