mysql防注入pdo_PDO参数化查询prepare() php防SQL注入

最新推荐文章于 2023-01-06 17:31:57 发布
最新推荐文章于 2023-01-06 17:31:57 发布
阅读量258 收藏
点赞数
文章标签: mysql防注入pdo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30359591/article/details/113206542
版权
PDO通过prepare()方法实现参数化查询,有效防止SQL注入。prepare()返回的PDOStatement对象可在execute()前绑定参数,如使用bindValue()或bindParam()。bindValue()接受参数位置、值和类型,支持不同类型如PDO::PARAM_INT、PDO::PARAM_STR等。execute()方法也可进行参数替换,但所有值默认为字符串类型。
摘要由CSDN通过智能技术生成

PDO中参数化查询主要用到prepare()方法,然后这个方法会返回一个PDOStatement对象,也就SQL声明(不知道怎么翻译),此时SQL语句只是被编译,但并未执行,调用PDOStatement中方法后会执行SQL语句,如下示例:

$sm = $db->prepare('SELECT login_oid FROM logined WHERE user_id=:user_id;');

$sm->bindValue(':user_id', $user_id, PDO::PARAM_INT);

$sm -> execute();

在execute()执行前,就可以调用bindValue()或者bindParam()方法替换之前准备的SQL语句中的你指定参数了,在SQL语句中指定参数有两种方式:':name’和’?’,上面代码中的用的是前一种,后一种的方式是:

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');

$sm->bindValue(1, $calories, PDO::PARAM_INT);

$sm->execute();

bindValue()有三个参数,第一个指定要替换掉SQL语句中哪一个参数,第二个指定替换后的值,第三个指定值的类型,类型对应如下:

PDO::PARAM_BOOL

布尔类型

PDO::PARAM_NULL

NULL类型

PDO::PARAM_INT

整数类型

PDO::PARAM_STR

字符串类型如 CHAR, VARCHAR, string

PDO::PARAM_LOB

资源类大对象,如文件等

PDO::PARAM_STMT

不知道

PDO::PARAM_INPUT_OUTPUT

这个好像是扩展类型

里面没有提供实数类型,这个很诧异.

再说说execute()这个方法,它本身也可以做参数替换,但是它会把所有值的类型都变成字符串类型,如下

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');

$sm->execute(array($calories));

多参数替换如下

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?, id < ?;');

$sm->execute(array($calories, $user_id));

http://my.oschina.net/cers/blog/41739?fromerr=ezofpZnY

希辰Xichen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pdo Mysql
浓汤
06-04 1038
1、什么是PDOPDOPHP data Object 提供了PHP操作多种数据库的统一的借口。2、为什么要使用PDO?更换其他数据库的时候无需更换代码,提高了程序运行效率3、PDO的特点是什么?(1)、编码的一致性    (2)、灵活性  (3)、面向对象特性   (4)、高性能使用PDO的好处是:从根本上SQL注入4、如何使用PDO?修改 php.ini中的配置  添加MYSQLPDO...
MySQL数据库PDO教程
weixin_34252686的博客
07-01 108
2019独角兽企业重金招聘Python工程师标准>>> ...
pdo-mysql
姜海强
08-17 1224
pdo-mysql PHP连接数据库推荐使用PDOPDO扩展为PHP访问数据库定义了一个轻量级接口。我们可以通过实现PDO接口的每个数据库驱动来访问数据库服务。 访问mysql数据库服务,我们使用PDO_MYSQL驱动 1.PDO实现CRUD 在192.168.1.13:3306的mysql实例上创建数据库roach,创建roach用户并授权,在roach库中创建表t_user,sql如下 CREATE TABLE `t_user` ( `id` int(10) unsigned NOT
php 参数化查询
weixin_34018202的博客
06-23 339
在学习注入时,MetInfo cms中出现一个注入点,我寻到源代码: $show = $db->get_one("SELECT * FROM $met_column WHERE id=$id and module=1"); 不懂php,看到这个,就误以为这是参数化参数化不是可以注入么,怎么还会有注入点呢。 后面深入了解发...
mysql pdo教程_(唯一合适) PDO 教程
weixin_33526515的博客
01-27 1187
PDO是什么首先思考, 为什么选择PDOPDO 是一个数据访问抽象层(Database Access Abstraction Layer). 抽象是双重的: 一个是众所周知但不太重要的. 另一个是模糊的但是是最重要的.众所周知 PDO 为不同的数据库提供了统一的接口. 虽然这个功能本身很庞大, 但是对于固定程序来说不是过于重要的事情, 基本所有的程序都是使用统一的后端数据库. 尽管有一些谣言, 但...
使用PDOsql注入的原理分析
09-09
标题中的“使用PDOSQL注入的原理分析”指的是在PHP编程中,使用PDOPHP Data Objects)扩展来SQL注入攻击的技术。SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库。PDO提供...
php使用pdo连接并查询sql数据库的方法
10-25
使用PDO的好处还包括支持预处理语句,这能有效SQL注入攻击。预处理语句通过分离参数和SQL语句来提高安全性,例如: ```php $stmt = $dbh->prepare('SELECT * FROM users WHERE email = :email AND status = :...
PHP注入安全代码
10-30
`是占位符,`bindParam`函数将变量与占位符关联,确保它们在执行时被正确地参数化,从而避免了SQL注入。 此外,还可以使用PHP内置的`filter_var`函数对用户输入进行过滤,例如: ```php // 过滤并验证整型变量 ...
PHP+MysqlSQL注入源码 下载
02-11
PHP中,通常使用预处理语句或参数化查询SQL注入。预处理语句将查询结构与数据分离,从而避免了恶意SQL代码被执行。例如,使用PDOPHP Data Objects)扩展,你可以创建一个预处理的SQL语句,然后绑定参数: ...
mysql pdo链接
06-09
mysql.php mysql pdo链接
pdo中使用参数化查询sql
01-20
方法 bindParam() 和 bindValue() 非常相似。 唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。 所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。 复制代码 代码如下: $stm = $pdo->prepare(“select * from users where user = :user”); $user = “jack”; //正确 $stm->bindParam(“:user”,$user); //错误 //$stm->bindParam(“:user”,”jack”); //正确 $stm-
PDO预处理prepare
weixin_43786904的博客
01-14 821
描述: 预处理语句prepare是pdo提供的一种db操作方式。其语言逻辑与正常的pdo访问相同。但区别于在prepare语句允许用户在【设置sql语句】与【执行sql语句】之间部分进行参数的注入与提取操作,而不是像正常的pdo访问一样直接将参数写死。 (1)prepare()方法和execute()方法 (2)bindValue()方法 (3)bindColumn()方法 正常pdo直接访问:设...
mysqlmysqli、PDO
最新发布
u013400314的博客
01-06 1018
mysql是非持继连接函数而mysqli是永远连接函数。也就是说,mysql每次链接都会打开一个连接的进程而mysqli多次运行mysqli将使用同一连接进程,从而减少了服务器的开销 有些朋友在编程的时候,mysqli是php5提供的新函数库,(i)表示改进,其执行速度更快.当然也更安全。// mysqli, object oriented way 对象。// mysqli, procedural way 过程。1.mysqlmysqli。
mysql pdo 中文手册_MySQL (PDO)
weixin_39895481的博客
02-01 170
用户评论:[#1]info at westgatesearch dot com [2014-10-31 23:39:29]HereisarealworldexampleofaPHPPDOMySQLDataEntryAppwithSQLInsertandredirecttoareporttoshowthedata"justentered"as...
pdo mysql 教程_PDO入门教程
weixin_39794213的博客
01-28 347
什么是PDO?我不给大家讲定义,就是给大家我的看法,我认为PDO就是PHP官方提供的、面向对象的、用来操作数据库的扩展。PDO不单可以访问Mysql,好像一般 的数据库都行,只要装上对应的扩展就可以了,一般用PHP的都是Mysql,所以我只装了Mysql的。如何如何安装PDO?和安装别的PHP扩展一样,windows简单,在php.ini载入对应的dll文件就行了。linux还要麻烦一点,需要编译...
MySQL + PDO 操作
Forrest_Gao的博客kyvMCjz5$0W1
07-17 553
PDO扩展注意:这里面有的的是伪代码,不可以执行PDO连接MySQL# 基本格式(mysql驱动,主机名,数据库名,数据库用户名,数据库密码) $pdo = new PDO('mysql:host=your_hostname;dbname=yourdbname;', 'your_username', 'your_password'); # 例子 $pdo = new PDO('mysql:host=
PDO操作MYSQL
weixin_34191845的博客
12-12 187
<?php //PDO操作mysql数据库 增删改查 //1.准备dsn $mysql_dsn="mysql:host=localhost;dbname=cz;charset=utf8"; //2.连接数据库 try{ $pdo=new PDO($mysql_dsn,'root','1234...
mysql pdo_数据库PDO简介
weixin_36260304的博客
01-20 469
php简介,php历史,php后端工程师职业前景,php技术方向,php后端工程师职业体系介绍。php是世界上使用最广泛的web开发语言,是超文本预处理器,是一种通用的开源脚本语言,语法吸收了c语言,Java语言,和Perl的特点,利于学习,使用广泛,主要适用于web开发,PHP做出来的动态页面与其他的编程语言相比,PHP是将持续嵌入到HTML文档中去执行,执行效率比完全生成HTML标记的CGI要...
ubuntu pdo mysql实例_使用PDO操作MySQL数据库的实例分享(收藏)
weixin_35936248的博客
02-07 126
下面小编就为大家带来一篇PDO操作MySQL的基础教程(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧PHP中的PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。PDO支持的PHP版本为PHP5.1以及更高的版本,而且在PHP5.2下PDO默认为开启状态、...
SQL注入御:参数化查询详解与应用
本文主要讨论了参数化查询SQL注入攻击中的重要性以及如何在PHP中实现这一技术,特别是使用MySQLi和PDO扩展。参数化查询是通过在SQL语句中使用参数占位符,并在执行时提供实际值,来确保数据库不将参数内容作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值