PHP利用PDO实现mysql防注入

最新推荐文章于 2023-10-01 22:23:23 发布
最新推荐文章于 2023-10-01 22:23:23 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: PHP学习 文章标签: PDO 数据库防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/theVicTory/article/details/62884352
版权

1、什么是注入攻击

例如下例:


前端有个提交表格:

    <form action="test.php" method="post">
        姓名:<input name="username" type="text">
        密码:<input name="password" type="password">
        <input type="submit" value="登陆">
    </form>

后台的处理如下: 
<?php
    $username=$_POST["username"];
    $password=$_POST["password"];
    $age=$_POST["age"];
    //连接数据库,新建PDO对象
    $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
   
    $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
    echo $sql;
    $stmt=$pdo->query($sql);
    //rowCount()方法返回结果条数或者受影响的行数
    if($stmt->rowCount()>0){ echo "登陆成功!"};
正常情况下,如果你输入姓名为小王,密码xiaowang,会登陆成功,sql语句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陆成功!


但是如果你输入姓名为 ' or 1=1 #,密码随便输一个,也会登陆成功,sql语句为:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功!

可以看到username='' or 1=1,#注释调了之后的password语句,由于 1=1恒成立,因此这条语句会返回大于1的结果集,从而使验证通过。

2、使用quote过滤特殊字符,防止注入

在sql语句前加上一行,将username变量中的‘等特殊字符过滤,可以起到防止注入的效果

 //通过quote方法,返回带引号的字符串,过滤调特殊字符
    $username=$pdo->quote($username);
    $sql="select * from login WHERE username={$username} AND password='{$password}' ";
    echo $sql;
    $stmt=$pdo->query($sql);
    //rowCount()方法返回结果条数或者受影响的行数
    if($stmt->rowCount()>0){
        echo "登陆成功!";
    };
sql语句为:select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'


可以看到“’”被转义\',并且自动为变量$username加上了引号


3、通过预处理语句传递参数,防注入

    //通过占位符:username,:password传递值,防止注入
    $sql="select * from login WHERE username=:username AND password=:password";
    $stmt=$pdo->prepare($sql);
    //通过statement对象执行查询语句,并以数组的形式赋值给查询语句中的占位符
    $stmt->execute(array(':username'=>$username,':password'=>$password));
    echo $stmt->rowCount();

其中的占位符也可以为? 
    //占位符为?
    $sql="select * from login WHERE username=? AND password=?";
    $stmt=$pdo->prepare($sql);
    //数组中参数的顺序与查询语句中问号的顺序必须相同
    $stmt->execute(array($username,$password));
    echo $stmt->rowCount();

4、通过bind绑定参数

bindParam()方法绑定一个变量到查询语句中的参数:    

    $sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
    $stmt=$pdo->prepare($sql);
  
    //第三个参数可以指定参数的类型PDO::PARAM_STR为字符串,PDO::PARAM_INT为整型数
    $stmt->bindParam(":username",$username,PDO::PARAM_STR);
    $stmt->bindParam(":password",$password,PDO::PARAM_STR);
    $stmt->bindParam(":age",$age,PDO::PARAM_INT);
    //使用bindValue()方法绑定一个定值
    $stmt->bindValue(":mail",'default@qq.com');
    $stmt->execute();
    echo $stmt->rowCount();
使用问号做占位符: 

        $sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号? 
        $stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值 
        $stmt->bindParam(1,$username); 
        $stmt->bindParam(2,$password); 
        $stmt->bindValue(3,'default@qq.com'); 
        $stmt->execute(); 
        echo $stmt->rowCount();

        使用其中bindValue()方法给第三个占位符绑定一个常量'default@qq.com',它不随变量的变化而变化。

bindColumn()方法绑定返回结果集的一列到变量:    

    $sql='SELECT * FROM user';
    $stmt=$pdo->prepare($sql);
    $stmt->execute();
    $stmt->bindColumn(2,$username);
    $stmt->bindColumn(4,$email);
    while($stmt->fetch(PDO::FETCH_BOUND)){
        echo '用户名:'.$username.",邮箱:".$email.'<hr/>';
    }




Vic·Tory
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP使用PDO实现mysql注入功能详解
10-15
下面将详细讲解如何使用PDO实现MySQL注入功能。 1. **理解SQL注入攻击** SQL注入攻击是黑客通过输入恶意的SQL代码,利用程序对用户输入数据未经充分过滤或验证,导致程序执行非预期的数据库操作。在上述例子中...
PDO预处理御SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6355
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
PDO场景下的SQL注入
qq_53142368的博客
06-07 613
0x01 PDOPDOPHP Data Objects)是PHP数据对象的2缩写,是一种在PHP里连接数据库的使用接口。PDOmysqli曾经被建议用来取代原本PHP在用的mysql相关函数,基于数据库使用的安全性,因为后者欠缺对于SQL注入护。 0x01 PDO的特点 1,编码的一致性 由于PHP可用的各种数据库扩展是由不同发行者编写的,所以尽管所有的扩展都提供了基本相同的特性,却不满足编码的一致性。PDO消除了这种不一致,提供了可用于各种数据库的单一接口; 2.灵活性 因为PDO在运行时加载
为什么PDO预处理可以御sql注入
最新发布
这个人很懒,没有描述。
10-01 290
预处理是一种防止 SQL 注入攻击的有效方法,因为它可以在将参数传递给 SQL 查询之前,将输入参数转义为安全格式。这是通过将 SQL 查询和输入参数分开处理实现的。攻击者可以通过将在这个例子中,?字符是占位符,代表输入参数。在执行查询之前,我们将用户名和密码绑定到查询上,而不是将它们作为字符串粘贴到查询中。这样,即使攻击者在输入中添加了恶意代码,它也不会影响查询的安全性。
php pdo sql注入,「原创」PHP实战-PDO优化及 SQL注入
weixin_36246029的博客
03-10 375
PDO优化,SQL注入攻击PDO SQL语句预处理PDO SQL语句预处理的步骤第1步:制作相同结构的SQL将SQL语句不同的数据部分,用参数或问号来代替。第2步:将相同结构的SQL语句预编译PDO::prepare1. 功能:将相同结构的SQL语句预编译1. 语法:public PDOStatement PDO::prepare ( string $statement )第3步:将真正的数据与占...
防止 SQL 注入PHP PDO 准备语句教程
allway2的博客
08-21 546
PDO 的真正优势在于,您在它支持的无数数据库中都使用了几乎相似的 API,因此您无需为每个数据库学习新的 API。不幸的是,在关闭模拟模式的情况下,您不能多次使用相同的命名参数,因此对于本教程来说它是无用的。这是推荐的方法,您显然可以将您的字符集设置为您的应用程序需要的任何内容(尽管 utf8mb4 是相当标准的)。其中任何一种都可以完全接受,尽管 PDO 对大多数用户来说是更好的选择,因为它更简单、更通用,而 MySQLi 有时更适合高级用户,因为它有一些 MySQL 特定的功能。
Php中用PDO查询Mysql来避免SQL注入风险的方法
10-27
标题中的“PHP中用PDO查询MySQL来避免SQL注入风险的方法”指的是使用PHPPDOPHP Data Objects)扩展来执行数据库查询,从而降低SQL注入的风险。SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
php基于PDO实现功能强大的MYSQL封装类实例
10-20
在本实例中,我们探讨的是如何使用PDO来创建一个功能强大的MySQL封装类,以便简化数据库操作,如连接、查询、事务处理等。 首先,让我们了解一下这个封装类`CPdo`的主要组成部分: 1. **属性**: 类中定义了一系列...
php_pdo_mysql.dll_dll_PDO_MYSQL_php_
09-29
标题 "php_pdo_mysql.dll_dll_PDO_MYSQL_php_" 暗示了我们正在讨论的是PHP的一个扩展,即PDO_MYSQL,它是一个用于MySQL数据库连接的PHP数据对象(PDO)驱动。PDO_MYSQL允许PHP应用程序使用PDO接口与MySQL服务器进行...
php mysql pdo 注入_php操作mysql注入基础
weixin_39658474的博客
01-28 64
最近写接口过程中需要用到phpmysql,使用过程中发现了一般的操作方法有sql注入风险,后来使用了PDOPDO是什么呢?PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。使用PDO我们可以用bindValue函数,它可以有效防止sql注入,这样便于我们基础...
SQL注入php代码
08-24
SQL注入php,通用注入
php pdo 注入写法,phpsql注入类(php pdo防止sql注入的类)
weixin_28366475的博客
03-17 95
class Model{protected $tableName="";//表名称protected $pOb;//pdo类对象function __construct(){$pdo=new PDO("mysql:host=".DB_HOST.";dbname=".DB_NAME,DB_USERNAME,DB_PASSWORD);$pdo->exec("set names ".DB_CHAR...
pdo mysql 注入_记录一下学习PDO技术范SQL注入的方法
weixin_32512451的博客
01-28 331
一、 什么是PDOPDO全名PHP Data ObjectPHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。二、如何去使用PDO范SQL注入?/范sql注入这里使用quate()方法过滤特殊字符和通过预处理的一些方式以及bindParameter()方...
pdo连接mysql 注入_使用PDO查询mysql避免SQL注入
weixin_42398171的博客
01-19 160
使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严紧,就有SQL注入风险。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PH...
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1291
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php pdo sql注入,PHP使用PDO简单实现防止SQL注入的方法
weixin_29194693的博客
03-10 400
PHP使用PDO简单实现防止SQL注入的方法方法一:execute代入参数
pdo调用方法以及sql注入原理
热门推荐
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
PDO防止mysql注入(三种方式)
qq_36910975的博客
05-18 686
文章目录PDO的简述防止mysql的措施 PDO的简述 pdo数据对象扩展是php访问数据库的一个轻量级接口,PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 防止mysql的措施 使用quote过滤特殊字符,为SQL语句中的字符串添加引号,转为字符串 $dbms='mysql'; //数据库类型 $host='127.0.0.1'; //数据库主机名 $dbName='test'; //使用的数据库 $user='root'
php mysql pdo 注入,Php中用PDO查询Mysql来避免SQL注入风险的方法
weixin_33685133的博客
03-21 156
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
php pdo mysql mysql_i 三种连接方式
09-03
PHP连接MySQL数据库的三种方式分别是PDOMySQLi和mysqlPDOPHP Data Objects)是PHP提供的一种数据库操作扩展,支持多种数据库,其中包括MySQLPDO提供了一组统一的方法,使开发者能够以同样的方式对待不同的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值