mysql使用bind_param()参数绑定来防止SQL注入攻击

最新推荐文章于 2021-01-27 12:10:49 发布
最新推荐文章于 2021-01-27 12:10:49 发布
阅读量3.1k 收藏 1
点赞数 1
分类专栏: php mysql
php 同时被 2 个专栏收录
162 篇文章 0 订阅
订阅专栏
mysql
94 篇文章 1 订阅
订阅专栏

什么是sql注入攻击

在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:

$username="manongjc";
$pwd="123";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

此时sql语句为:

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123'

这个sql语句没有问题,当数据库中存在用户名为manongjiaoc密码为123时,会查询出结果,否则不会查询到任何数据。

 

再看下面一种情况:

$username="manongjc";
$pwd="123' or '1'='1";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

此时sql语句为:

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123' or '1'='1'

这个时候or是mysql关键字,后面永远为真,所以能查询到结果。这就是SQL注入攻击。 

 

使用bind_param()参数绑定来防止SQL注入攻击

我们这样写就不会存在SQL注入攻击了:

<?php    
$username="manongjc";
$pwd="123' or '1'='1";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";    
bindParam($sql, 1, $username, 'STRING');  //以字符串的形式.在第一个问号的地方绑定$username这个变量    
bindParam($sql, 2, $pwd, 'STRING');       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量    
echo $sql;   
?>

sql输出如下:

SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'

原文地址:http://www.manongjc.com/article/1180.html

luyaran
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql绑定参数_mysql使用bind_param()参数绑定防止SQL注入攻击
weixin_42116713的博客
01-20 423
什么是sql注入攻击在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:$username="manongjc";$pwd="123";$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";此时sql语句为:SELECT * ...
mysql绑定参数bind_param原理以及防SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 绑定参数原理以及SQL注入.. 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
mysql bind param_mysql绑定参数bind_param原理以及防SQL注入
weixin_39554891的博客
01-27 146
下面我们来模拟一个用户登录的过程..$username = "aaa";$pwd = "pwd";$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'p...
mysql使用bind_param()参数绑定防止SQL注入攻击(转载)
阿龙的博客
09-13 527
什么是sql注入攻击 在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:   $username="manongjc"; $pwd="123"; $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pw...
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击 php防止SQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细...
PHP+MysqlSQL注入源码 下载
01-01
在IT行业中,数据库的安全性是...综上所述,理解SQL注入的原理并掌握防止它的方法对于任何使用PHP和MySQL的开发者来说都是至关重要的。在部署任何包含用户输入的项目时,应始终优先考虑安全性,避免遭受SQL注入攻击
MYSQL_C_API.rar_MYSQL_mysql c++
09-19
- `mysql_stmt_bind_param()`:绑定参数到预处理语句。 - `mysql_stmt_execute()`:执行预处理语句。 - `mysql_stmt_fetch()`:从结果集中获取一行数据。 7. **性能优化**: - `mysql_set_server_option()`:...
mysql.rar_mysql 类_mysql
09-21
MySQL是世界上最流行的关系型数据库管理系统之一,用于存储和管理数据。在PHP中,我们可以使用MySQLi或PDO_MySQL扩展来与MySQL数据库...同时,为了最佳的安全实践,应始终使用预处理语句和参数绑定,避免SQL注入攻击
最有用有效的php中防止sql注入_.docx
10-10
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意数据来操纵SQL查询,从而获取、修改、删除数据库中的敏感信息,甚至控制整个服务器。在PHP编程中,防止SQL注入至关重要,因为如果不采取适当的措施,用户...
php中bind_param()函数用法分析
10-20
主要介绍了php中bind_param()函数用法,简单分析了bind_param()函数的功能、参数使用方法与相关注意事项,需要的朋友可以参考下
mysql bind param_php中bind_param()函数用法分析
weixin_42395426的博客
01-19 376
本文实例讲述了php中bind_param()函数用法。分享给大家供大家参考,具体如下:从字面上不难理解,绑定参数;下面我通过一个绑定参数的例子讲一下:for example:bind_param("sss", firstname,lastname, $email);1. 该函数绑定了 SQL 的参数,且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字...
sql查询中使用绑定变量,防止sql注入
weixin_34056162的博客
01-10 496
1,绑定变量减少了解析 假设要将id从1到10000的员工的工资都更新为150.00元, 不使用绑定变量 sql.executeQuery("update employees set salay150 where id=1"); sql.executeQuery("update employees set salay150 where id=2"); ................ ...
mysql bind_param_如何在PHP中动态绑定mysqli bind_param参数
weixin_36308751的博客
01-21 584
我一直在学习为我的sql查询使用准备和绑定的语句,我已经出来了这个到目前为止,它的工作正常,但它是不是动态的,当涉及到多个参数或没有任何参数需要时,public function get_result($sql,$parameter){# create a prepared statement$stmt = $this->mysqli->prepare($sql);# bind par...
参数绑定与传值
qq_42112846的博客
07-03 445
参数绑定与传值上篇说到了SpringMVC的工作原理及其配置;本次主要解释的就是在前端的控制器当中各种跳转,包括方法之间的跳转,方法到页面,页面到方法之间的跳转,这是本篇博文所要提及的;1.   功能方法之间的跳转 功能方法之间的跳转方式有两种,一种就是ModelAndView,一种就是return直接返回地址.涉及到的绝对路径与相对路径的问题商品博文已经提到过,这而就不在赘述了。1) Model...
MyBatis 动态元素bind元素
櫆溟的博客
04-29 658
bind元素 :   bind基本用于模糊查询。优点是可以防止注入攻击,统一各种数据库系统的格式,比如说MySQL先前要用concat进行模糊查询的拼接而Oracle用的是"||"。 bind的标签可以通过OGNL创建一个上下文变量,然后在sql中使用,其使用方式如下: <select id="B" parameterType="String" resultType="com.itheima...
bind_param()解析
weixin_30755393的博客
11-12 968
如: $stmt->bind_param('sds',$name,$price,$description); 其中'sds'为要绑定参数的数据类型,分别是: 字母 表示绑定的值类型 d Decimal i Integer b...
mysql bind param_PHP Mysqli_stmt->bind_param报错的原因与解决办法
weixin_39842271的博客
01-27 1435
最近由于升级PHP版本导致wordpress的一个插件运行时报错,也没有其他插件可供替代。俗话说,自己动手,丰衣足食。于是我开始自己编写插件。插件需要用到数据库中的内容,于是我编写查询查询语句,使用了据说较为安全的mysqli::prepare方法。但是有一个报错困扰了我很久。报错内容为“Fatal error: Uncaught Error: Call to a member function ...
c++ mysql_bind结构
最新发布
07-18
接下来,使用mysql_stmt_bind_param绑定变量到预编译语句中的占位符。最后,使用mysql_stmt_execute执行语句并关闭语句句柄。 通过使用mysql_bind结构,我们可以方便地将C程序中的变量与预编译语句中的占位符绑定,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值