pdo基本使用及pdo预处理防sql注入

最新推荐文章于 2022-12-17 06:57:42 发布
最新推荐文章于 2022-12-17 06:57:42 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: php技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myhuashengmi/article/details/51986706
版权 
$dsn = "mysql:host=localhost;dbname=pdo";
$db=new PDO($dsn,'root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8'));
$rs = $db->exec("insert into jq_insert(info) values('zhangsan')");  //pdo插入数据
echo $rs;

//pdo读取数据
<pre name="code" class="html">$data = $db->query("select * from jq_insert");
$data ->setFetchMode(PDO::FETCH_ASSOC);
$result = $data->fetchAll();
$json = json_encode($result);
echo $json;


 

pdo预处理防sql注入
 

login.php
 

<form action="pdo_curl.php" method="post">
    <input type="text" name="name" value=" abc 'or 'a'='a ">
    <input type="text" name="pwd" value="123">
    <input type="submit"/>
</form>
 

 pdo_curl.php 

<?php
header("content-type:text/html;charset=utf-8")<pre name="code" class="html">
$name=$_POST['name'];
$pwd=$_POST['pwd'];
$dsn="mysql:host=localhost;dbname=7xiangmu_youhua";
$db=new PDO($dsn,'root','root');
$stmt = $db->prepare("select * from pdotest where name = ? and pwd = ?");
$exeres = $stmt->execute(array($name, $pwd));
if ($exeres) {
    while ($row = $stmt->fetch()) {
        print_r($row);
    }
}
 

 

 

 

 

 

 

 

 


                

        

        

    




    

      

        

            

              
                
                  我很满意
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
使用PDOsql注入的原理分析

				
			

			

				

					09-09
				

			

		

		

			
				
主要给大家介绍了关于使用PDOsql注入的原理的相关资料,文中还给大家介绍了使用PDO的注意事项,通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧

			
		

	



                

              
                



	

		

			

				
					
PDO预处理SQL注入

				
			

			

				

					路虽远,行将至。事虽难,做必达。
				

				

					04-07
					
					6279
					
				

			

		

		

			
				
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。

查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。
	提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以

			
		

	



                


  
              

                


	

		

			

				
					
PDO预处理

				
			

			

				

					qq_25285531的博客
				

				

					05-06
					
					294
					
				

			

		

		

			
				
PDO中的基本的原理和步骤和MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已!
1.发送预处理语句
此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象!
2.绑定参数
调用PDOStatement对象中的bindParam方法:
3.执行预处理语句
调用PDOStatement对象中的e...

			
		

	





	

		

			

				
					
PDO预处理是如何SQL注入

				
			

			

				

					y0un9er
				

				

					05-13
					
					1901
					
				

			

		

		

			
				
通过日志分析PDO是如何SQL注入

			
		

	



		

			
		



	

		

			

				
					
08-PDO预处理操作

				
			

			

				

					q506174602的博客
				

				

					12-17
					
					446
					
				

			

		

		

			
				
08-PDO预处理操作

			
		

	





	

		

			

				
					
PDO预处理

				
			

			

				

					烈火熊熊在我心
				

				

					08-06
					
					1762
					
				

			

		

		

			
				
这篇来说一下PDO预处理。原理本质上就是编译一次,多次执行。PDO预处理语句(prepared statement)机制,是将一条SQL命令向数据库服务器发送一次(此时发送的参数不是实参,是占位符),以后参数发生变化,数据库服务器只需对命令的结构做一次分析就够了。$stmt = $conn->prepare("insert into categorylink (did,cid) values (:d

			
		

	





	

		

			

				
					
php_pdo 预处理语句详解

				
			

			

				

					01-21
				

			

		

		

			
				
这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。 一、预处理语句可以带来两大好处: 1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,...

			
		

	





	

		

			

				
					
PHPsql注入小技巧之sql预处理原理与实现方法分析

				
			

			

				

					01-20
				

			

		

		

			
				
 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式,...

			
		

	





	

		

			

				
					
PDO预处理语句PDOStatement对象使用总结

				
			

			

				

					12-19
				

			

		

		

			
				
PDO预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理SQL语句后直接返回的。如果通过之前执行PDO...

			
		

	





	

		

			

				
					
PHP:PDO预处理机制在SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处

				
			

			

				

					ZzzWClock的博客
				

				

					10-07
					
					475
					
				

			

		

		

			
				
PHP:PDO预处理机制在SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
一.PDO预处理机制在SQL注入的作用

pdo预处理机制  sql注入
pdo使用 ?参数占位符 或者 命名占位符 :name





需要使用到的方法
含义




prepare()
准备一条将要执行的预处理语句 返回的是pdo statement 对象


bindParam()
绑定一个参数到指定的变量名


execute()
执行一条预处理语句


①未

			
		

	





	

		

			

				
					
PDO场景下的SQL注入

				
			

			

				

					qq_53142368的博客
				

				

					06-07
					
					590
					
				

			

		

		

			
				
0x01 PDOPDO(PHP Data Objects)是PHP数据对象的2缩写,是一种在PHP里连接数据库的使用接口。PDO与mysqli曾经被建议用来取代原本PHP在用的mysql相关函数,基于数据库使用的安全性,因为后者欠缺对于SQL注入护。
0x01 PDO的特点
1,编码的一致性
由于PHP可用的各种数据库扩展是由不同发行者编写的,所以尽管所有的扩展都提供了基本相同的特性,却不满足编码的一致性。PDO消除了这种不一致,提供了可用于各种数据库的单一接口;
2.灵活性
因为PDO在运行时加载

			
		

	





	

		

			

				
					
php pdo sql注入,「原创」PHP实战-PDO优化及 SQL注入

				
			

			

				

					weixin_36246029的博客
				

				

					03-10
					
					367
					
				

			

		

		

			
				
PDO优化,SQL注入攻击PDO SQL语句预处理PDO SQL语句预处理的步骤第1步:制作相同结构的SQLSQL语句不同的数据部分,用参数或问号来代替。第2步:将相同结构的SQL语句预编译PDO::prepare1. 功能:将相同结构的SQL语句预编译1. 语法:public PDOStatement PDO::prepare ( string $statement )第3步:将真正的数据与占...

			
		

	





	

		

			

				
					
PDO场景下的SQL注入探究

				
			

			

				

					weixin_50464560的博客
				

				

					08-14
					
					511
					
				

			

		

		

			
				
前言
PHP数据对象(PDO)扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以使用相同的函数(方法)来查询和获取数据。PDO随PHP 5.1发行,在PHP 5.0的PECL扩展中也可以使用,无法运行于之前的PHP版本。今天我们讨论PDO多语句执行(堆叠查询)和PDO预处理下的SQL注入问题导致SQL注入的问题。如有不足,不吝赐教。
PDO多语句执行
PHP连接MySQL数据库有三种方式(MySQL、Mys...

			
		

	





	

		

			

				
					
sql注入简单讲解  以及pdosql注入简单讲解

				
			

			

				

					qq_42223375的博客
				

				

					05-21
					
					524
					
				

			

		

		

			
				
sql注入简单简单讲解    在这贴上一个详细讲解SQL注入的文章链接 ,https://blog.csdn.net/u011280083/article/details/79116615(一)了解注入原理    为什么会存在sql注入呢,只能说SQL出身不好。因为sql作为一种解释型语言,在运行时是由一个运行时组件解释语言代码并执行其中包含的指令的语言。基于这种执行方式,产生了一系列叫做代码注入...

			
		

	





	

		

			

				
					
pdo通过预处理语句sql注入

				
			

			

				

					云影杳杳的博客
				

				

					11-25
					
					4568
					
				

			

		

		

			
				
本文会通过一个简单的登录验证来演示通过预处理语句注入。
数据库:test;
创建表:CREATE TABLE USER(	id INT UNSIGNED AUTO_INCREMENT KEY,
	username VARCHAR(20) NOT NULL,
	password CHAR(20) NOT NULL,
	email CHAR(20) NOT NULL);向表中插入一条数据:INS

			
		

	





	

		

			

				
					
pdo调用方法以及sql注入原理

					
热门推荐

				
			

			

				

					dengjiexian123的专栏
				

				

					12-24
					
					1万+
					
				

			

		

		

			
				
前言
在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。
目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有

			
		

	





	

		

			

				
					
pdo如何sql注入

				
			

			

				

					weixin_34378969的博客
				

				

					01-26
					
					240
					
				

			

		

		

			
				
我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。
 使用PDO访问MySQL数据库时,真正的real ...

			
		

	





	

		

			

				
					
PDO预处理SQL注入

					
最新发布

				
			

			

				

					06-02
				

			

		

		

			
				
是的,PDO预处理可以有效地SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制...因此,PDO预处理是一种能够有效SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值