php mysql pdo 多次_关于PHP,PDO,MySQL:PHP,PDO,MySQL – 多个INSERT易受注入?

最新推荐文章于 2021-03-10 20:05:26 发布
最新推荐文章于 2021-03-10 20:05:26 发布
阅读量64 收藏
点赞数
文章标签: php mysql pdo 多次
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28829173/article/details/114907217
版权

本问题已经有最佳答案,请猛点这里访问。

在我的应用程序(PHP)中,我将从API请求~3000行,并使用PDO驱动程序将它们插入MySQL表中。

虽然要插入的数据不是用户输入的,但数据交给我的方式却不在我手中。

因为~3000插件尽可能快地重要,所以我想使用像(?,?,?),(?,?,?),...这样的多个插件。

我想知道多次插入是否会影响MySQL注入的漏洞? 因为我使用PHP代码'构建'查询。

我的'测试'代码是:

class DBCon {

private static $instance = null;

private $db;

private function __construct() {

$this->db = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', 'root', '');

$this->db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$this->db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

}

public static function getDB() {

if (self::$instance === null) {

self::$instance = new self();

}

return self::$instance->db;

}

}

function createItems($array) {

$sql = 'INSERT INTO `table`(`text`, `int`, `bool`) VALUES ';

$insertArray = array();

foreach ($array as $arrayItem) {

$sql .= '(';

foreach ($arrayItem as $arrayItemItem) {

array_push($insertArray, $arrayItemItem);

$sql .= '?,';

}

$sql = rtrim($sql, ',');

$sql .= '),';

}

$sql = rtrim($sql, ',');

var_dump($sql);

var_dump($insertArray);

try {

$query = DBCon::getDB()->prepare($sql);

$query->execute($insertArray);

} catch (PDOException $e) {

echo '
query failure';

}

}

$array = array(array('a piece of text',123,0),array('a piece of text',123,0));

createItems($array);

$sql包含:

index.php:36:string 'INSERT INTO `table`(`text`, `int`, `bool`) VALUES (?,?,?),(?,?,?)' (length=65)

$insertArray包含:

index.php:37:

array (size=6)

0 => string 'a piece of text' (length=15)

1 => int 123

2 => int 0

3 => string 'a piece of text' (length=15)

4 => int 123

5 => int 0

顺便说一句,你不应该抓错报道它们。 相反,让PHP来处理它。 换句话说,只是摆脱尝试捕获。

I was wondering whether doing a multiple insert has effect on the vulnerability for a MySQL injection? Because I 'build' the query using PHP code.

那么,在现实生活中我们无法避免手动构建查询,因此可以动态创建一个或两个查询。 在这种情况下,您必须遵循的唯一规则是所有查询部分都必须在脚本中进行硬编码。

只要遵循它,就不可能注射。

在您的情况下,所有查询部分都是硬编码的,因此这段代码是安全的。

好笑,我以为这就是我所说的。

只要这些值由PDO参数化查询处理,那么它将逃避任何尝试的注入。

https://stackoverflow.com/a/134138

如果您不使用PDO,那么您需要确保正确转义所有数据,这是很多工作。

要查看MySQL服务器实际执行了哪些查询,您可以按照以下说明设置常规日志:

https://stackoverflow.com/a/2413308

这不回答问题。

我以为是的。 您正在使用参数化查询,所以你应该没问题。 但是如果你想看看你的查询发生了什么,你可以查看我包含的第二个链接。

《第一财经》YiMagazine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
10-16
本示例将深入解析如何使用PDO扩展来创建MySQL数据库、数据表,并进行多条数据的插入操作。 首先,创建MySQL数据库是通过执行SQL的CREATE DATABASE语句实现的。下面的PHP代码展示了这个过程: ```php <?php $...
php操作pdo实现插入
dzyweer的博客
03-30 9278
&lt;?php header("Content-type: text/html; charset=utf-8"); $dbms='mysql'; $dbName='goodsdb'; $user='root'; $pwd='root'; $host='localhost'; $charset = 'utf8'; $dsn="$dbms:host=$host;dbname=$dbName;char...
php pdo insert,phpINSERT数组 – PDO
weixin_33672838的博客
03-10 494
我有一部分代码应该在表单中输入数据,将其存储在数组中然后将其输入数据库.我在$fields和$data上使用了var_dump,它们都返回在字段中输入的信息(在add_habbo函数中).所以我遇到的问题是MYSQL / PDO代码没有将这些数据插入数据库.这是我用来将它们插入数据库的代码:$fields = '`' . implode('`, `', array_keys($habbo_data...
php pdo insert,phppdo新增操作
weixin_39630999的博客
03-10 365
* PDO预处理主要使用PDOStatement对象* 该对象是通过: $pdo->prepare()方法创建* 读写操作都可以通过:$pdoStmt->execute()方法进行* 预处理SQL语句句中的占位符除可以使用?号之外,还可以使用命名参数,例如:name:email...* 下面新增数据为例进行演示,共分6步:* 1.连接数据库,创建PDO对象* 2.准备预处理SQL语句,...
php pdo-insert,php mysql pdo insert multiple rows 批量插入
weixin_29051245的博客
03-10 322
DEMO:// 批量插入DEMO$dbhost="127.0.0.1";$dbuser="root";$dbpwd="123456";$dbname="testa";$option[PDO::MYSQL_ATTR_INIT_COMMAND]='SET SESSION sql_mode =REPLACE(REPLACE(REPLACE(REPLACE(REPLACE(REPLACE(@@sql_mo...
pdo mysql insert_phpPDO连接mysql数据库,增删改查等等操作实例
weixin_39550587的博客
01-19 285
我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严就有SQL注入风险,导致网站被攻击。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新加入的一个重大...
Php中用PDO查询Mysql来避免SQL注入风险的方法
10-27
标题中的“PHP中用PDO查询MySQL来避免SQL注入风险的方法”指的是使用PHPPDOPHP Data Objects)扩展来执行数据库查询,从而降低SQL注入的风险。SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
PHP8 PDO MYSQL示例
最新发布
05-18
PHP8是PHP的最新版本,提供了许多性能优化和新特性,而PDO则是一个用于数据库访问的抽象层,它支持多种数据库系统,包括MySQL。我们将通过描述中的关键点来构建一个基础的CRUD(创建、读取、更新和删除)操作框架,...
php mysql PDO 查询操作的实例详解
10-19
在本实例中,我们将深入探讨如何使用PDO进行MySQL数据库的查询操作。 首先,要建立与MySQL服务器的连接,我们可以使用以下代码: ```php $dbh = new PDO('mysql:host=localhost;dbname=access_control', 'root', '...
PHP实现PDO操作mysql存储过程示例
10-17
MySQL是广泛使用的开源关系型数据库,而存储过程是MySQL中的一个高级特性,允许开发者预编译并存储一系列SQL语句,以便在需要时高效地执行。在本示例中,我们将探讨如何使用PHPPDO扩展来调用MySQL的存储过程,以...
php pdo插入数据_PHP PDO将数据插入表
07-26 631
php pdo插入数据Inserting data is very simple as we already know how to establish connection with mysql (MariaDB) using PDO? We can use the same code as a skeleton and then edit the $sql query to insert da...
pdo mysql insert id_php pdo insertpdo insertId的用法
weixin_36050866的博客
01-19 671
php编程中,php pdo insert 和 update 数据 都可以通过execute(); 函数来操作。如果操作成功,则返回true,否则为false。pdo要获得最后插入的id,可以通过 lastInsertId() 函数来获得。例子:复制代码 代码示例:$dbconn = array('dns'=>"mysql:host=localhost;dbname=soa",'dbuse...
pdo连接数据库并插入数据
TANKING,开源开发者!
06-14 6041
创建配置文件 pdo_config.php创建配置文件 pdo_config.php &lt;?php $db_Type = "mysql";//数据库类型 $host = "localhost";//主机名 $dbName = "test";//数据库名 $userName = "root";//用户名 $password = "root";//密码 $dsn = "{$db_Type
php mysql 防止并发重复操作_mysql - php高并发下如何防止数据的重复写入
weixin_28363123的博客
01-19 1155
前端请求php写入数据的接口太频繁,导致mysql中出现大量重复数据,如何处理回复内容:前端请求php写入数据的接口太频繁,导致mysql中出现大量重复数据,如何处理这个问题从三个方面来回答题主:前端前端的话要对请求进行限制,通过disabled提交按钮或者是设置定时器来禁止用户多重提交。接口接口一定要做好limit,但是这个并不是解决这个问题的关键点,因为你不可能设置一个limit为1 time...
php pdo-insert,Php pdo insert query
weixin_32578799的博客
03-10 108
You are almost there, here is a simplified version:$sql = "insert into `users` (`username`,`password`) values (?, aes_encrypt(?, ?))";$stmt = $this->pdo->prepare($sql);// Do not use associative ...
PDO防止mysql注入(三种方式)
qq_36910975的博客
05-18 689
文章目录PDO的简述防止mysql的措施 PDO的简述 pdo数据对象扩展是php访问数据库的一个轻量级接口,PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 防止mysql的措施 使用quote过滤特殊字符,为SQL语句中的字符串添加引号,转为字符串 $dbms='mysql'; //数据库类型 $host='127.0.0.1'; //数据库主机名 $dbName='test'; //使用的数据库 $user='root'
php操作pdo实现更新
dzyweer的博客
03-30 6275
&lt;?php header("Content-type: text/html; charset=utf-8"); $dbms='mysql'; $dbName='goodsdb'; $user='root'; $pwd='root'; $host='localhost'; $charset = 'utf8'; $dsn="$dbms:host=$host;dbname=$dbName;char...
PHP PDO】纯PHP(不使用框架)下 Mysql PDO 使用方法小记
weixin_30528371的博客
05-06 127
1 配置信息 $config = array( 'db' => array( 'host' => '127.0.0.1', 'user' => 'root', 'pass' => '', 'db' => 'test_db', 'dns' => 'mysql:dbname=test_db;host=127.0...
php pdo-insert,php-PDOINSERT INTO通过准备的语句
weixin_39996096的博客
03-10 195
你应该这样使用它$dbhost = "localhost";$dbname = "pdo";$dbusername = "root";$dbpassword = "845625";$link = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbusername, $dbpassword);$statement = $link->prepare(...
PHP新手入门:PDO数据库操作指南
PDOPHP Data Object)是PHP 5引入的一个重要特性,主要是为了提供一个数据库访问的抽象层,使得开发者可以通过统一的接口与多种数据库系统交互,包括MySQL、PostgreSQL、MSSQL Server和SQLite等。在PHP 6(尽管...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值