php sql预执行,PHP防止sql注入小技巧之sql预处理原理与实现方法分析

搜索热词

本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考，具体如下：

我们可以把sql预处理看作是想要运行的 sql 的一种编译过的模板，它可以使用变量参数进行定制。

我们来看下它有什么好处：

预处理语句大大减少了分析时间，只做了一次查询(虽然语句多次执行)。

绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。

预处理语句针对sql注入是非常有用的，因为参数值发送后使用不同的协议，保证了数据的合法性。

这种预处理呢，可以通过两个方式，咱们这次要说的是MysqLi。它任何时候都可以确保应用程序可以用相同的数据访问模式，比PDO要更加实用。

预处理呢，它有两种语句，一种是dml语句，另一种是dql语句。咱们先来看第一种：

header('Content-type:text/html;charset=utf-8');

$MysqLi = new MysqLi("127.0.0.1","root","test");

$MysqLi->query('set names utf8');

$insert = $MysqLi->prepare("insert admins (title,cookies,sta,lid) values (?,?,?)");

$title = "cuijinpeng";

$cookies = "luyaran201314";

$sta = "1";

$lid = 1;

$insert->bind_param("sssi",$title,$cookies,$sta,$lid);

$res = $insert->execute();

if($res){

echo 1;

}else{

echo $insert->error;

echo 0;

}

$insert->close();

$MysqLi->close();

第二种呢，代码如下：

header('Content-type:text/html;charset=utf-8');

$MysqLi = new MysqLi("127.0.0.1","test");

$MysqLi->query('set names utf8');

$select = $MysqLi->prepare("select id,title,lid from admins where id > ?");

$id = "1";

$select->bind_param("i",$id);

$select->bind_result($id,$lid);

$select->execute();

while ($select->fetch()) {

echo $id."---".$title."---".$cookies."---".$sta."---".$lid."
";

}

$select->close();

$MysqLi->close();

接下来，咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢，它支持insert、update、delete这三种类型的sql，第二种嘞，就是查询语句了。

完事那个bind_param里的那个i，就是咱们传入参数的类型了，具体介绍如下：

i - integer(整型)

d - double(双精度浮点型)

s - string(字符串)

b - BLOB(binary large object:二进制大对象)

我们传入的每个参数都需要指定类，这样通过告诉数据库参数的数据类型，可以降低 sql 注入的风险。

好啦，本次记录就到这里了。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《PHP程序设计安全教程》、《PHP安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《PHP面向对象程序设计入门教程》、《PHP字符串(string)用法总结》、《PHP+MysqL数据库操作入门教程》及《PHP常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

总结

如果觉得编程之家网站内容还不错，欢迎将编程之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。