mysql使用bind_param()参数绑定来防止SQL注入攻击(转载)

最新推荐文章于 2024-05-06 17:36:06 发布
最新推荐文章于 2024-05-06 17:36:06 发布
阅读量513 收藏
点赞数
分类专栏: MySQL 文章标签: mysql 防注入 SQL注入

什么是sql注入攻击

在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:

 

  1. $username="manongjc";

  2. $pwd="123";

  3. $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

此时sql语句为:

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123'

这个sql语句没有问题,当数据库中存在用户名为manongjiaoc密码为123时,会查询出结果,否则不会查询到任何数据。

 

再看下面一种情况:

 

  1. $username="manongjc";

  2. $pwd="123' or '1'='1";

  3. $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

此时sql语句为:

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123' or '1'='1'

这个时候or是mysql关键字,后面永远为真,所以能查询到结果。这就是SQL注入攻击。 

 

使用bind_param()参数绑定来防止SQL注入攻击

我们这样写就不会存在SQL注入攻击了:

 

  1. <?php

  2. $username="manongjc";

  3. $pwd="123' or '1'='1";

  4. $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

  5. bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量

  6. bindParam($sql, 2, $pwd, 'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量

  7. echo $sql;

  8. ?>

sql输出如下:

SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'

原文地址:http://www.manongjc.com/article/1180.html

阿龙HL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MongoDB 3.6版本中bind_ip设置详解
09-09
主要给大家介绍了关于MongoDB 3.6版本中bind_ip设置的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SQLite3的绑定函数族使用与其注意事项详解
09-09
主要介绍了SQLite3的绑定函数族使用与其注意事项的相关资料,文中通过示例代码介绍的非常详细,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
JS中使用apply、bind实现为函数或者类传入动态个数的参数
10-22
主要介绍了JS中使用apply、bind实现为函数或者类传入动态个数的参数的相关资料,需要的朋友可以参考下
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击 php防止SQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。 mysql_real_escape_stringsql注入攻击 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 在有些时候需要将mysql_real_escape_stri
SQLBindParameter 函数的参数解析及使用方法
热门推荐
u013187074的博客
10-22 1万+
以下资料均找自网上开源代码。 1 参数绑定API     执行参数化查询,需要将语句中各个参数对应的变量缓存,与Statement句柄实现绑定。     用于绑定参数的ODBC API函数: SQLRETURN SQLBindParameter(       SQLHSTMT        StatementHandle,     // statement句柄      
SQLBindParameter
snail8384的专栏
01-06 2917
使用ODBC 3.0开发,在Blob数据绑定时,Statement类封装了一个方法: void setBlob(int iParam, Blob *b){     SDWORD len = SQL_LEN_DATA_AT_EXEC(b->getLength());     retcode = retcode = SQLBindParameter(this->hstmt, iParam, SQ
mysql bind param_mysql绑定参数bind_param原理以及SQL注入
weixin_39554891的博客
01-27 142
下面我们来模拟一个用户登录的过程..$username = "aaa";$pwd = "pwd";$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'p...
vb.rar_cad批量 绑定_cad批量绑定外部_vb bind_参照_绑定外部参照
09-20
批量绑定autocad外部参照文件,用于大批量地进行cad文件绑定外部参照
解决v-for中使用v-if或者v-bind:class失效的问题
10-17
今天小编就为大家分享一篇解决v-for中使用v-if或者v-bind:class失效的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php中bind_param()函数用法分析
10-20
主要介绍了php中bind_param()函数用法,简单分析了bind_param()函数的功能、参数使用方法与相关注意事项,需要的朋友可以参考下
MySQL —— 表的基本操作
学习C++的小陈同学
04-30 539
本篇整理了和表结构相关的各种基本操作(增删查改等等)
MySql中深度分页的问题
m0_68723562的博客
05-02 602
MySql深度分页的问题,就是比如我们需要所查询出的表数据量较大,需要进行查询结果返回集的后面部分,所出现的性能问题。比如说我们有一个一百万数据量的表,我们分页需要查询99990,10,数据库通常情况下会先扫描前99990条数据, 再进行分页返回最后10条,这样就会导致查询接口性能变慢,随着OFFSET值的增大,查询性能会显著下降。这是因为MySQL需要扫描从第一条记录到OFFSET指定的位置,然后返回LIMIT数量的结果,这在大数据集中会导致大量的磁盘I/O操作和较慢的查询响应时间。
mysql 按字段查询重复的数据
退役熬夜选手的博客
05-06 99
如果您只想识别具有重复值的列名,则方法 1 或 2 可能就足够了。如果您需要有关重复值的更多信息,例如每个值的计数,则方法 3 或 4 可能更好。主键是唯一索引的一种特殊类型,它还标识表中的每个行。在 MySQL 中,可以使用多种方法来查询按字段重复的数据。您可以使用 DISTINCT 关键字来删除结果中的重复行。该查询将为每个行返回列名的值,以及该值在同一列中出现的次数。该查询将返回所有具有重复值的列名的值,以及每个值的计数。该查询将返回所有具有重复值的列名的值。该查询将返回所有具有重复值的列名的值。
MySQL没有初始化配置文件设置属性
最新发布
zwjzone的博客
05-06 112
安装mysql的时候,为了速度,并没有配置my.ini或者my.cnf文件,数据库因为断电,导致数据都看不见了,一直提示不存在,这时候需要修改配置文件,将innodb_force_recovery设置为0到6的值,依次尝试,比如innodb_force_recovery = 1,但是现在没有配置文件,该怎么设置呢?
Debian 德比安 Nginx + PHP + MySql + beanstalkd + Redis + Node.js
HzqGhost's Blog
04-29 676
网卡模式选择桥接 mirrors.163.com阿里镜像源DeBian 安装软件选择时勾选上apt updateapt install sudo #安装 sudousermod -aG sudo username #添加普通账号到 sudo让 root 可以 SSH配置文件 /etc/ssh/sshd_config找到 PermitRootLogin 选项 并将其值修改为重启ssh先在 VirtualBox 上添加好。
c++ mysql_bind结构
07-18
### 回答1: mysql_bind结构是在使用MySQL C API进行数据绑定使用的结构体。它用于将C语言变量与MySQL查询中的绑定参数和结果集进行关联。 mysql_bind结构具有以下成员: 1. buffer:指向数据缓冲区的指针。对于绑定参数,该缓冲区保存待绑定的值;对于结果集,该缓冲区保存查询结果。 2. length:对于绑定参数,length表示待绑定的值的长度;对于结果集,length表示查询结果的长度。 3. is_null:对于绑定参数,is_null指示待绑定的值是否为NULL;对于结果集,is_null指示查询结果是否为NULL。 4. error:表示错误码,用于指示是否出现了错误。 5. type:表示数据类型的枚举值,用于指示待绑定的值的类型。 通过mysql_bind结构,我们可以将C语言变量与待执行的SQL语句中的参数进行绑定,从而实现参数的传递。例如,当我们需要执行一个INSERT语句时,可以通过mysql_bind结构将C语言变量与SQL语句中的参数绑定起来,然后使用mysql_stmt_execute函数来执行SQL语句。 同时,mysql_bind结构也可以用于获取执行SQL查询后的结果集。当执行SELECT语句时,我们可以先通过mysql_stmt_execute函数执行SQL语句,然后通过mysql_bind结构将结果集的列与C语言变量进行绑定,从而获取查询结果。 总之,mysql_bind结构是在使用MySQL C API进行数据绑定时的重要工具,它可以方便地将C语言变量与MySQL查询中的参数和结果集关联起来,从而实现数据的传递和获取。 ### 回答2: mysql_bind结构是用于绑定和存储MySQL查询语句参数和结果的一个数据结构。它是MySQL C API提供的一种方式,用于在和MySQL数据库进行交互的过程中,设置、绑定和获取查询参数和结果。 mysql_bind结构包含了多个成员变量,主要包括:buffer_type、buffer、buffer_length、is_null、length、error等。 buffer_type用于指定参数或结果的数据类型,包括整型、浮点型、字符串等。buffer是用于存储查询参数或结果的内存区域。buffer_length表示存储区域的长度。is_null表示参数或结果是否为空,length表示参数或结果的长度。error用于存储错误信息。 使用mysql_bind结构的过程可以分为几个步骤: 1. 创建mysql_bind结构,设置相应的成员变量,如buffer_type、buffer_length等。 2. 绑定查询参数或结果到mysql_bind结构,可以通过设置buffer成员变量来存储参数,或者设置is_null、length等成员变量来存储结果。 3. 执行查询语句,将mysql_bind结构传递给MySQL函数,以便将参数或结果传递给数据库或从数据库中获取结果。 4. 根据操作的类型(查询参数或结果),可以使用mysql_bind结构中的不同成员变量来获取相应的值或信息。 5. 使用mysql_bind结构后,需要释放相关资源,如释放内存等。 总的来说,mysql_bind结构提供了一种方便的方式,用于在C语言中操作MySQL数据库的查询参数和结果。通过合理的设置和使用mysql_bind结构,可以实现参数和结果的绑定和存储,并能够方便地与MySQL数据库进行交互。 ### 回答3: mysql_bind结构是MySQL C API中一个用于绑定变量的结构体。它用于将C程序中的变量与预编译语句中的占位符进行绑定,以便在数据库操作中进行参数传递和结果获取。 mysql_bind结构包含以下重要成员: 1. buffer:变量的指针,用于存储绑定的变量值。可以是任何基本数据类型的指针。 2. buffer_type:指定buffer中存储的变量类型。这个值可以是MYSQL_TYPE_*枚举中的一个,如MYSQL_TYPE_LONG、MYSQL_TYPE_DOUBLE等。 3. is_null:一个指针,用于表示变量是否为空。如果变量为空,is_null将设置为一个非零值,否则为0。 4. length:存储变量的长度。对于字符串变量,length将保存字符串的长度;对于数值变量,length将保存0。 5. error:变量的错误码。如果在绑定变量时发生错误,error将设置为一个非零值,否则为0。 通过使用mysql_bind结构,可以方便地将C程序中的变量与预编译语句中的占位符进行绑定。这样,就可以安全地将用户输入传递到数据库中,防止SQL注入攻击。同时,使用绑定变量还可以提高查询性能,减少数据库的解析时间。 例如,可以通过以下代码示例来演示mysql_bind结构的使用: ```c MYSQL_STMT *stmt; MYSQL_BIND bind; int my_var = 10; stmt = mysql_stmt_init(mysql); // 初始化MySQL语句句柄 mysql_stmt_prepare(stmt, "SELECT * FROM table WHERE column = ?", strlen("SELECT * FROM table WHERE column = ?")); // 准备预编译语句 bind.buffer_type = MYSQL_TYPE_LONG; // 绑定的变量类型为整型 bind.buffer = (void *)&my_var; // 绑定的变量为my_var的地址 bind.is_null = 0; // 变量不为空 bind.length = 0; // 变量长度为0 mysql_stmt_bind_param(stmt, &bind); // 绑定变量到预编译语句 mysql_stmt_execute(stmt); // 执行预编译语句 mysql_stmt_close(stmt); // 关闭MySQL语句句柄 ``` 在上面的代码中,我们首先使用mysql_stmt_init函数初始化MySQL语句句柄,然后使用mysql_stmt_prepare准备预编译语句。接下来,使用mysql_stmt_bind_param绑定变量到预编译语句中的占位符。最后,使用mysql_stmt_execute执行语句并关闭语句句柄。 通过使用mysql_bind结构,我们可以方便地将C程序中的变量与预编译语句中的占位符绑定,实现安全的参数传递和结果获取。同时,还可以提高数据库查询性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值