php pdo sql注入,PHP使用PDO简单实现防止SQL注入的方法

最新推荐文章于 2022-08-21 13:13:40 发布
最新推荐文章于 2022-08-21 13:13:40 发布
阅读量395 收藏
点赞数
文章标签: php pdo sql注入

PHP使用PDO简单实现防止SQL注入的方法

方法一:execute代入参数<?php

if(count($_POST)!= 0) {

$host = 'aaa';

$database = 'bbb';

$username = 'ccc';

$password = '***';

$num = 0;

$pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//创建一个pdo对象

foreach ($_POST as $var_Key => $var_Value) {

//获取POST数组最大值

$num = $num + 1;

}

//下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存

for($i=0;$i

{

//库存下标

$j = $i+1;

//判断传递过来的数据合法性

if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){

//禁用prepared statements的仿真效果

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

//查询数据库中是否存在该ID的商品

//当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据

$stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");

//当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。

$stmt->execute(array($_POST[$i]));

//返回查询结果

$count = $stmt->rowCount();

//如果本地数据库存在该商品ID和库存记录,就更新该商品的库存

if($count != 0)

{

$stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");

$stmt->execute(array($_POST[$j], $_POST[$i]));

}

//如果本地数据库没有该商品ID和库存记录,就新增该条记录

if($count == 0)

{

$stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");

$stmt->execute(array($_POST[$i], $_POST[$j]));

}

}

}

$pdo = null;

//关闭连接

}

?>

方法二:bindParam绑定参数<?php

if(count($_POST)!= 0) {

$host = 'aaa';

$database = 'bbb';

$username = 'ccc';

$password = '***';

$num = 0;

$pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//创建一个pdo对象

foreach ($_POST as $var_Key => $var_Value) {

//获取POST数组最大值

$num = $num + 1;

}

//下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存

for($i=0;$i

{

//库存下标

$j = $i+1;

//判断传递过来的数据合法性(此数据为商品编号以及库存,严格来说字符串全是由数字组成的)

if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){

//查询数据库中是否存在该ID的商品

$stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");

$stmt->execute(array($_POST[$i]));

$stmt->bindParam(1,$_POST[$i]);

$stmt->execute();

//返回查询结果

$count = $stmt->rowCount();

//如果本地数据库存在该商品ID和库存记录,就更新该商品的库存

if($count != 0)

{

$stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");

$stmt->execute(array($_POST[$j], $_POST[$i]));

$stmt->bindParam(1,$_POST[$j]);

$stmt->bindParam(2,$_POST[$i]);

$stmt->execute();

}

//如果本地数据库没有该商品ID和库存记录,就新增该条记录

if($count == 0)

{

$stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");

$stmt->bindParam(1,$_POST[$i]);

$stmt->bindParam(2,$_POST[$j]);

$stmt->execute();

}

}

}

$pdo = null;

//关闭连接

}

?>

足以不恨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用PHP实现防止sql注入功能
05-31
本案例主要在PHP中分别使用PDO的quote()方法和prepare()预处理语句来实现防止sql注入的功能。 所谓sql注入,就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql...
使用php,使用 PHP
weixin_28989055的博客
03-11 114
使用 PHP推荐查看本文HTML版本本节汇集了你在写 PHP 脚本时可能碰到的大多数普通错误。1. 我想写一个可以处理任何表单来的数据的通用 PHP 脚本。我怎么知道哪个 POST 方法变量可用呢?2. 我需要在所有的单引号(')前加一个反斜线(\),使它们变成(\'),我如何能够通过正则表达式来实现?我同样希望能够将(")转换成(\"),将(\)转换成(\\)。3. 我所有的(")和(')都被变...
分享一些题目
..
12-06 895
一、无字母webshell,题目如下 <?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>40){ die("Long."); } if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code); }else{
php pdo执行sql,php使用PDO执行SQL语句的方法分析
weixin_42166626的博客
03-09 139
本文实例讲述了php使用PDO执行SQL语句的方法。分享给大家供大家参考,具体如下:exec()方法exec()方法返回执行后受影响行数,语法如下:int PDO::exec(string statement)参数statement是要执行的SQL语句。该方法返回执行查询时受影响的行数,通常情况下用于INSERT,DELETE和UPDATE语句中。例如:$dbms="mysql";//数据库类型$...
防止 SQL 注入的 PHP PDO 准备语句教程
allway2的博客
08-21 509
PDO 的真正优势在于,您在它支持的无数数据库中都使用了几乎相似的 API,因此您无需为每个数据库学习新的 API。不幸的是,在关闭模拟模式的情况下,您不能多次使用相同的命名参数,因此对于本教程来说它是无用的。这是推荐的方法,您显然可以将您的字符集设置为您的应用程序需要的任何内容(尽管 utf8mb4 是相当标准的)。其中任何一种都可以完全接受,尽管 PDO 对大多数用户来说是更好的选择,因为它更简单、更通用,而 MySQLi 有时更适合高级用户,因为它有一些 MySQL 特定的功能。
PDO预处理防御SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6271
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
使用PDOsql注入的原理分析
09-09
主要给大家介绍了关于使用PDOsql注入的原理的相关资料,文中还给大家介绍了使用PDO的注意事项,通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧
PHP简单实现防止SQL注入方法
01-20
本文实例讲述了PHP简单实现防止SQL注入方法。分享给大家供大家参考,具体如下: 方法一:execute代入参数 <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $...
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
01-20
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下: 我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有...
php使用PDO执行SQL语句的方法分析
10-20
主要介绍了php使用PDO执行SQL语句的方法,结合实例形式分析了PDO常用SQL函数功能及使用技巧,需要的朋友可以参考下
SQL注入php代码
08-24
SQL注入php,通用防注入类
php pdo sql注入,PHP PDO是如何防止SQL注入的?
weixin_31845243的博客
03-10 271
SQL注入是一个常见的问题,当一个新的或没有经验的开发人员编写的代码很容易受到攻击。PHP是最容易访问的编程语言之一,但是这常常导致不安全的代码或不好的实践。PDO (PHP数据对象)是一个数据库抽象层,它允许您快速而安全地处理许多不同类型的数据库。这使您能够使用相同的代码支持多种类型的数据库,并通过使用准备好的语句保护您免受SQL注入。数据库抽象层通过API提供所有功能来隐藏与数据库的交互。所有...
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1259
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php mysql pdo 防注入,Php中用PDO查询Mysql来避免SQL注入风险的方法
weixin_33685133的博客
03-21 154
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
pdo调用方法以及防sql注入原理
热门推荐
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行防护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
PHPsql注入处理(pdo
gaokcl的博客
06-24 414
sqlmap使用教程 https://www.freebuf.com/sectool/164608.html https://blog.csdn.net/guiziwen/article/details/78770285 /** * @1,sql注入漏洞: * 比如:在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为: * sele...
pdo_fetch执行mysql_PDO中执行SQL语句的三种方法
weixin_32790659的博客
01-21 258
PDO中,我们可以使用三种方式来执行SQL语句,分别是 exec()方法,query方法,以及预处理语句prepare()和execute()方法~大理石构件来图加工在上一篇文章《使用PDO构造函数连接数据库及DSN详解》中,我们介绍了如何使用构造函数连接数据库和DSN的详解,那么我们这篇文章跟大家介绍在PDO中执行SQL语句的三种方式,下面我们将一一介绍!第一种方法:exec()方法exec(...
PHPPDO预编译防SQL注入
anan的博客
07-21 2732
很多对代码不熟悉的朋友总觉得PDO能够有效防止SQL注入,其实真正防止SQL注入的是php预处理,你可以使用mysqli面向对象预处理、面向过程预处理,也可以使用PDO预处理,其实真正起作用的还是预处理。下面的代码会表达出PDO预处理的精髓! $dbms = 'mysql'; $db_host = 'localhost'; $db_user = 'root'; $db_pass = 'root';...
mysql 防注入 php_PHP防止SQL注入方法详解
weixin_36234738的博客
01-18 198
这篇文章主要介绍了PHP防止SQL注入方法详解,需要的朋友可以参考下问题描述:如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsa...
PDO预处理能防止SQL注入
最新发布
06-02
是的,PDO预处理可以有效地防止SQL注入。预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制...因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值