pdo如何防止 sql注入

最新推荐文章于 2021-05-13 22:24:46 发布
置顶 最新推荐文章于 2021-05-13 22:24:46 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: 网络服务 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40884473/article/details/78429366
版权

我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。

 使用PDO访问MySQL数据库时,真正的real prepared statements 默认情况下是不使用的。为了解决这个问题,你必须禁用 prepared statements的仿真效果。下面是使用PDO创建链接的例子:

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。
虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。
我们来看一段完整的代码使用实例:

 

$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'"); 
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql); 
$exeres = $stmt->execute(array($testname, $pass)); 
if ($exeres) { 
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
    print_r($row);
}
}
$dbh = null;

 

 上面这段代码就可以防范sql注入。为什么呢?
 当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。
但是我们需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入
1、你不能让占位符 ? 代替一组值,如:

1

SELECT FROM blog WHERE userid IN ( ? );

2、你不能让占位符代替数据表名或列名,如:

SELECT * FROM blog ORDER BY ?;

3、你不能让占位符 ? 代替任何其他SQL语法,如:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

 

大家想了解更多深层知识点,并且很实用,可以去以下链接查看,现在很多的‘’一款APP,(知识星球)
https://t.zsxq.com/F2JAIiu   (搜索:php技术交流与分享,加入星球,就可以一直了解您想要的知识点)

八点半的Bruce丶D
关注
专栏目录
pdo调用方法以及sql注入原理
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
sql注入漏洞以及PDO御绕过
最新发布
qq_68600196的博客
08-12 1001
虽然PDO提供了很强大的御机制,但前提是正确地使用,包括正确参数绑定,避免直接拼接。还有字符集的指定,及时更新php·························O(∩_∩)O。
PDO防止sql注入
jiuyue9561的博客
05-21 472
1、什么是sql注入?    SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力。    随着B/S模式被广泛的应用,用这种模式编写应用程序的程序员也越来越多,但由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返...
php pdo sql注入,PHP PDO是如何防止SQL注入的?
weixin_31845243的博客
03-10 287
SQL注入是一个常见的问题,当一个新的或没有经验的开发人员编写的代码很容易受到攻击。PHP是最容易访问的编程语言之一,但是这常常导致不安全的代码或不好的实践。PDO (PHP数据对象)是一个数据库抽象层,它允许您快速而安全地处理许多不同类型的数据库。这使您能够使用相同的代码支持多种类型的数据库,并通过使用准备好的语句保护您免受SQL注入。数据库抽象层通过API提供所有功能来隐藏与数据库的交互。所有...
PDOsql注入
rps1999的博客
05-22 248
$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass"); $dbh-&gt;setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果 $dbh-&gt;exec("set names 'utf8'"); $sql="sel...
使用PDOsql注入的原理分析
12-16
本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...
php防止sql注入的方法详解
10-20
使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP中,可以使用PDO(PHP Data Objects)或MySQLi的预处理功能来实现。例如: ```php $...
防止sql注入工具类l
03-22
防止SQL注入是每个Web开发者必须关注的重要问题。在这个主题中,我们将深入探讨“防止SQL注入工具类”的相关知识点,以及如何在实际开发中有效地应用这些工具。 首先,我们需要理解SQL注入的基本原理。当应用程序...
php中防止SQL注入的最佳解决方法
10-27
为了防止SQL注入,最佳的解决方法是使用预编译语句和参数化查询。预编译语句指的是先将SQL语句发送到数据库服务器进行解析和编译,而参数化查询则是在编译后的SQL语句中插入参数,而不是将变量直接拼接进去。这样做...
PDO预处理是如何防止SQL注入
y0un9er
05-13 2229
通过日志分析PDO是如何防止SQL注入
pdo mysql注入_pdo如何防止 sql注入
weixin_28844359的博客
01-28 232
我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用 mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。使用PDO访问MySQL数据库时,真正的realpr...
mysql pdo 安全_PDO防止sql注入的原理
weixin_31427047的博客
01-27 363
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制。预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
pdo mysql 注入_关于PDOsql注入问题
weixin_34070493的博客
01-21 95
大部分常见数据库都支持prepare语句,以postgresql为例PREPARE fooplan (int, text, bool, numeric) ASINSERT INTO foo VALUES($1, $2, $3, $4);EXECUTE fooplan(1, 'Hunter Valley', 't', 200.00);第一句把insert prepare成为名为fooplan的sta...
PHP PDO 防止SQL注入
yyt8yyt8的专栏
03-28 2187
使用PDO的好处: 1> 防止SQL注入 2> 提高执行效率 每条SQL执行前,MYSQL数据库都需要先进行编译(即便是一个空格也可能引起重新编译)。在循环执行多条数据时,使用prepare方式传入不同参数可以减少编译时间 大部分常见数据库都支持prepare语句,即便数据库不支持,pdo也会采用模拟的方式来实现,简单来说就是pdo自己对数据做quote,然后把结果拼接成sql再执行
PDO预处理sql注入
LXC
06-11 1151
$pdo=new PDO('mysql:host=127.0.0.1;dbname=ci','root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $arr=$pdo->prepare("insert into ceshi(ip,country,province,city,district,carrier)VALU
PDO防止sql注入原理
左手代码右手诗
12-07 514
PDO预处理 $pdo = new PDO("mysql:host=localhost;dbname=test","user","pwd"); $sql = "insert into user(name,age) values(?,?)"; // ?号的方式 $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //PDO有一项参数...
php PDO链接数据库(防止SQL注入)
nocomment_84的博客
07-27 689
class mysql_pdo {     var $db_connect_id;     var $query_result;     var $row = array();     var $rowset = array();     var $num_queries = 0;     var $numRows =0;//插入,更新,删除后影响的行数     var $lastInsID =...
PDO防止mysql注入(三种方式)
qq_36910975的博客
05-18 725
文章目录PDO的简述防止mysql的措施 PDO的简述 pdo数据对象扩展是php访问数据库的一个轻量级接口,PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 防止mysql的措施 使用quote过滤特殊字符,为SQL语句中的字符串添加引号,转为字符串 $dbms='mysql'; //数据库类型 $host='127.0.0.1'; //数据库主机名 $dbName='test'; //使用的数据库 $user='root'
PDO预处理能防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入。预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

八点半的Bruce丶D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值