利用sql预处理语句 防止sql注入

最新推荐文章于 2024-05-27 20:01:33 发布
最新推荐文章于 2024-05-27 20:01:33 发布
阅读量1k 收藏 1
点赞数
分类专栏: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/grace_fang/article/details/78213758
版权

写一个简单的登陆系统

前端代码


<!DOCTYPE html>
<html>
<head>
	<title></title>
	<meta charset="utf-8">
</head>
<body>
<h2>登录页面</h2>
<form action="doLogin.php" method="post">
	username:<input type="text" name="username" id=""/><br/>
	password:<input type="password" name="password" id=""><br/>
	<input type="submit" value="登录" ="">
</form>

</body>
</html>>

后台提交至

doLogin.php

<?php


header('content-type:text/html;charset=utf-8');
$mysqli=new mysqli('localhost','root','','test');
if($mysqli->errno)
{
	die('Connect Error'.$mysqli->error);
}
$mysqli->set_charset('utf8');

$username=$_POST['username'];
$password=$_POST['password'];
// $sql="SELECT * FROM user WHERE username='{$username}' AND password='{$password}'";
// $mysqli_result=$mysqli->query($sql);

// if($mysqli_result&&$mysqli_result->num_rows>0)
// {
// 	//$row=$mysqli_result->fetch_assoc();
// 	echo '登录成功1';
// }
// else
// {
// 	echo '登录失败0';
// }
//为防止sql注入  比如在username里面写 'or 1=1#   这时候 也会显示登录成功
//1.对所输入进行过滤  2.使用预处理语句就不会出现这样的问题

$sql="SELECT * FROM user WHERE username=? AND password=?";
$mysqli_stmt=$mysqli->prepare($sql);

$mysqli_stmt->bind_param('ss',$username,$password);
if($mysqli_stmt->execute())
{
	$mysqli_stmt->store_result();
	if($mysqli_stmt->num_rows>0)
	{
		echo '登录成功';
	}
	else
	{
		echo '登录失败';
	}
}

注释的部分即没有利用sql预处理  这样在登陆的username 里面写  
'or 1=1#   这时候 也会显示登录成功
'or 1=1#   这时候 也会显示登录成功
这是一个非常可怕的问题


所以这时候需要利用预处理 或者 过滤来解决这个问题

grace_fang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php使用mysql预处理语句防止sql注入 简单讲解及代码实现
AKGWSB 's blog
07-29 2653
前言 最近在做一个小项目的后台,牵扯到登录等等需要操作数据库的地方,为了安全起见,特地来记录一下。 sql注入是一个非常常见的漏洞,可能会带来严重的后果,sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。 sql注入简单介绍 sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。初次听起来很抽象,什么是改写语义呢?我们来举一个简单的例子 总所周知lol里面有一个位置叫做【辅助】,我们有如下语句: 我最喜欢
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
本文将深入探讨PHP防止SQL注入的小技巧,特别是通过SQL预处理的原理和实现方法。 SQL预处理是一种在执行SQL语句前先编译其结构的方法,将查询的逻辑结构与动态参数分开。这样,参数的值在单独的步骤中传递,从而...
SQL注入语句防止sql注入语句
04-26
SQL注入语句防止sql注入语句,验证sql注入
mysql语句防止攻击_php – 在MySQL使用预处理语句是否可以防止SQL注入攻击?
weixin_39664774的博客
01-28 101
我只想验证在MySQL使用预处理语句是否会阻止SQL注入.以下代码是否会阻止所有SQL注入攻击?$var = $_GET['q'];$trimmed = trim($var);if ($trimmed != NULL) {$get_fighters = $DBH->prepare('SELECT *FROM fightersWHERE name LIKE :searchTermOR nic...
SQL预处理语句
h1008685的博客
05-27 414
定义了一个SQLINSERT语句,目的是将数据插入到login.login_tables表中使用prepare()方法准备SQL语句,使其准备好接受参数。bind_param("si", $name, $passwd);方法绑定了两个参数调用execute()方法执行预处理语句。通过var_dump($end);打印execute()方法的返回值,以验证插入操作是否成功。最后,函数尝试关闭预处理语句数据库连接
Sql语句防止注入方法
乐杨俊浅谈LAMP
10-17 1535
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");   因为用户可以输入:value'); DROP TAB
数据库优化_SQL语句优化_SQL注入攻击_如何防止SQL注入攻击
huitailang857的博客
07-23 435
1.1关于数据库优化 (1)查询时,能不用* 就不用,尽量写全字段名。 (2)索引不是越多越好,每个表控制在6个索引以内。范围where条件的情况下,索引不起作用,比如where value<100 (3)大部分情况连接效率远大于子查询,但是有例外。当你对连接查询的效率都感到不能接受的时候可以试试用子查询,虽然大部分情况下你会更失望,但总有碰到惊喜的时候不是么… (4)多用explain 和 profile分析查询语句 (5)有时候可以1条大的SQL可以分成几个小SQL顺序执行,分了吧,速度会快很多。
PHP中的安全盾牌:使用预处理语句抵御SQL注入
最新发布
08-01
PHP(Hypertext Preprocessor)是一种广泛使用的开源脚本语言,主要用于Web开发,将服务器端的脚本与HTML页面相结合,创建动态交互式Web页面。PHP的名字是一个递归缩写,表示"PHP: Hypertext Preprocessor"。 ... ... ... ...#
利用SQL注入漏洞登录后台的实现方法
12-15
使用参数化查询或预处理语句,如PHP的`PDO`或`mysqli`的预处理功能,来确保即使有恶意输入,也不会执行不期望的SQL命令。例如,可以改写`validate.php`中的查询代码为: ```php $stmt = $conn->prepare(...
PHP中怎样防止SQL注入分析
10-25
在PHP中,使用PDO和mysqli的预处理语句防止SQL注入的两种非常有效的方法。除此之外,还需要在软件开发的各个阶段(设计、编码、测试、部署和维护)综合考虑安全因素,遵循安全编码规范,才能构建出抵御SQL注入和...
怎么防止SQL注入
。。。。
03-21 7053
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
为什么说Mysql预处理可以防止SQL注入
weixin_30482383的博客
11-12 877
简单点理解:prepareStatement会形成参数化的查询,例如:1select * from A where tablename.id = ?传入参数'1;select * from B'如果不经过prepareStatement,会形成下面语句:1select * from A where tablename.id = 1;select * from B这样等于两次执行,但如果经过预处理,...
java中预处理PrepareStatement起到防止SQL注入的作用
大道至简
01-14 1178
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。        用法就是如下边所示: [java] view plain copy String sql="update cz_zj_directpayment dp
预编译sql注入
weixin_54855337的博客
12-05 2859
预编译sql注入
使用预处理防止sql注入
cpy1356140308的博客
05-03 399
使用预处理语句(Prepared Statement)是一种有效的方法来防止SQL注入攻击。预处理语句SQL查询或更新语句与参数分开处理,确保参数的值不会被解释为SQL代码的一部分。通过使用预处理语句SQL查询或更新语句中的参数将被视为纯粹的数据值,而不会被解释为SQL代码的一部分。方法创建一个预处理语句。在创建预处理语句时,将SQL查询或更新语句作为参数传递给该方法。如果是更新语句,可以通过返回的受影响行数来判断操作是否成功。方法的参数类型取决于相应参数的数据类型。执行查询或更新:使用预处理语句的。
C# 防止SQL注入
秋水伊人在路上
11-07 493
在做Sql注入防止的时候找了很多代码,但都不十分满意,有的需要一个页面一个页面去调用,有的则执行错误.于是在一个解决方案上面修改了一下,基本实现了全站防止SQL注入的功能,有什么不足的地方,还请批评指正   SqkKey.cs    using System; using System.Text.RegularExpressions; using System.Web;
编译预处理机制(SQL注入问题解决原理)
lf1949的博客
03-24 2566
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
什么是预处理?防SQL注入的原理?使用预处理防止被恶意注入
Jin_Xiang123的博客
11-29 1471
⭐ 前言 ⭐本篇文章主要介绍什么是预处理?防sql注入的原理?使用预处理防止SQL被恶意注入简单知识以及部分理论知识 SQL注入是指攻击者通过在Web应用程序中注入恶意SQL代码,从而导致数据库执行恶意的SQL语句。为了防止SQL注入,可以采用以下原理: 在以上示例中,使用了 ' 任意值 ' or '1'='1' 的方法恶意注入了SQL语句,恶意用户输入 '任意值' or '1'='1',进行SQL语句注入 从而影响最终结果。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
PDO预处理防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入数据作为参数传递给SQL语句,从而避免了恶意用户输入一些SQL语句,从而破坏原有的SQL语句执行逻辑的情况。PDO预处理语句会自动转义输入的特殊字符,确保输入数据不会被解释为SQL语句的一部分。 当PDO预处理执行时,数据库会在执行SQL语句之前编译它,并在接收到实际参数值后执行该语句。这确保了SQL语句和参数值之间的完全分离,并保障了SQL语句的安全性。 因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值