PHP中使用PDO的预处理功能避免SQL注入

最新推荐文章于 2024-06-20 20:49:37 发布
最新推荐文章于 2024-06-20 20:49:37 发布
阅读量210 收藏 1
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/zhuxiaoxi/p/10890131.html
版权

不使用预处理功能

<?php
$id = $_GET['id'];
$dsn = 'mysql:host=localhost;port=3306;dbname=database';
try {
    $pdo = new PDO($dsn, $user, $pass);
    $sql = 'SELECT * FROM table where id = ' . $id;
    $stmt = $pdo->query($sql);
    $data = $stmt->fetchALL(PDO::FETCH_ASSOC);
    var_dump($data);
    $stmt->closeCursor();
} catch (PDOException $e) {
    var_dump($e->getMessage());
}

使用匿名占位符预处理

<?php
$id = $_GET['id'];
$dsn = 'mysql:host=localhost;port=3306;dbname=database';
try {
    $pdo = new PDO($dsn, 'user', 'pass');
    $sql = 'SELECT * FROM table where id = ?';
    $stmt = $pdo->prepare($sql);
    $stmt->execute([$id]);
    $data = $stmt->fetchALL(PDO::FETCH_ASSOC);
    var_dump($data);
    $stmt->closeCursor();
} catch (PDOException $e) {
    var_dump($e->getMessage());
}

使用命名占位符预处理

<?php
$id = $_GET['id'];
$dsn = 'mysql:host=localhost;port=3306;dbname=database';
try {
    $pdo = new PDO($dsn, 'user', 'pass');
    $sql = 'SELECT * FROM table where id = :id';
    $stmt = $pdo->prepare($sql);
    $stmt->bindValue(':id', $id);
    $stmt->execute();
    $data = $stmt->fetchALL(PDO::FETCH_ASSOC);
    var_dump($data);
    $stmt->closeCursor();
} catch (PDOException $e) {
    var_dump($e->getMessage());
}
<?php
$foo = $_GET['foo'];
$bar = $_GET['bar'];
$dsn = 'mysql:host=localhost;port=3306;dbname=database';
try {
    $pdo = new PDO($dsn, 'user', 'pass');
    $sql = 'UPDATE table set column_foo = ? where column_bar = ?';
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(1, $foo);
    $stmt->bindParam(2, $bar);
    $stmt->execute();
    $data = $stmt->rowCount();
    var_dump($data);
    $stmt->closeCursor();
} catch (PDOException $e) {
    var_dump($e->getMessage());
}

转载于:https://www.cnblogs.com/zhuxiaoxi/p/10890131.html

weixin_30546189
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPPDO扩展如何使用预处理语句来SQL注入攻击?有哪些安全实践建议?
Marthaondon的博客
04-15 1256
然后,我们使用prepare()方法准备了一个预处理语句,该语句的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地止了SQL注入。// 准备预处理语句。
pdo mysql注入_PhpPDO查询Mysql来避免SQL注入风险的方法
weixin_28695161的博客
01-19 200
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
PDO通过预处理语句sql注入
帅波的博客
05-26 463
简单登录页面注入 数据库:test; 建表 CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(32) NOT NULL, email CHAR(32) NOT NULL ); 向表插入一条数据: INSERT INTO user(use...
PDO预编译与sql注入
最新发布
qq_64395221的博客
06-20 1013
刚学web安全的时候学到sql注入御,那些文章基本上都会说利用pdo预编译就可以近乎完美sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
pdo基本使用pdo预处理sql注入
天下熙熙,皆为利来;天下攘攘,皆为利往。
07-21 1496
$dsn = "mysql:host=localhost;dbname=pdo"; $db=new PDO($dsn,'root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $rs = $db->exec("insert into jq_insert(info) values('zhangsan')"); //p
PDO预处理SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6404
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
2017-07-25 PDO预处理以及sql注入
ayucfqwua07405842的博客
07-25 118
首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> <body> <fieldset> <legend><h3>用户登录</h...
PHPPDO预处理语句与存储过程
10-17
此外,预处理语句还可以有效SQL注入攻击,因为参数绑定避免了直接将用户输入拼接到SQL语句PDOPHP Data Objects)扩展是PHP的一个数据库访问抽象层,它提供了一种统一的方法来访问多种数据库。PDO支持...
使用PDOsql注入的原理分析
09-09
标题的“使用PDOSQL注入的原理分析”指的是在PHP编程使用PDOPHP Data Objects)扩展来SQL注入攻击的技术。SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库。PDO提供...
PhpPDO查询Mysql来避免SQL注入风险的方法
10-27
标题的“PHPPDO查询MySQL来避免SQL注入风险的方法”指的是使用PHPPDOPHP Data Objects)扩展来执行数据库查询,从而降低SQL注入的风险。SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
PDO预处理sql注入
LXC
06-11 1150
$pdo=new PDO('mysql:host=127.0.0.1;dbname=ci','root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $arr=$pdo->prepare("insert into ceshi(ip,country,province,city,district,carrier)VALU
mysql pdo 安全_PDOsql注入的原理
weixin_31427047的博客
01-27 361
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制。预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
php pdo注入,简单登录的PDO预处理SQL注入
weixin_34469152的博客
03-21 215
1,新建一个user表create table user(id int(4) not null primary key auto_increment,name varchar(255) not null,pwd varchar(255) not null)CHARSET=utf8;2,插入测试数据INSERTINTOuser(name,pwd)VALUES('bobo','bobo');3,...
PDO预处理是如何SQL注入
y0un9er
05-13 2189
通过日志分析PDO是如何SQL注入
PHP:PDO预处理机制在SQL注入的作用/PDO CURD预处理/PDO预处理bindValue与bindParam的不同之处
ZzzWClock的博客
10-07 516
PHP:PDO预处理机制在SQL注入的作用/PDO CURD预处理/PDO预处理bindValue与bindParam的不同之处 一.PDO预处理机制在SQL注入的作用 pdo预处理机制 sql注入 pdo使用 ?参数占位符 或者 命名占位符 :name 需要使用到的方法 含义 prepare() 准备一条将要执行的预处理语句 返回的是pdo statement 对象 bindParam() 绑定一个参数到指定的变量名 execute() 执行一条预处理语句 ①未
简单的PDO技术以及预处理方法预SQL注入
qq_43592364的博客
09-22 1287
SQL注入是十大漏洞之一,危害程度高,可能会导致数据库的信息泄露,用户得到管理员权限等安全隐患 产生SQL注入点的原因有多种多样,但归根结底是采用了动态拼接SQL语句的方法并且没有做好相应的过滤用户数据的措施,例如 <?php $name = $_POST['userName']; $password = $_POST['userPassword']; if...
PDOsql注入
jiuyue9561的博客
05-21 468
1、什么是sql注入?    SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力。    随着B/S模式被广泛的应用,用这种模式编写应用程序的程序员也越来越多,但由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返...
pdo mysql注入_pdo如何sql注入
weixin_28844359的博客
01-28 231
我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用 mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。使用PDO访问MySQL数据库时,真正的realpr...
PDOsql注入原理
左手代码右手诗
12-07 514
PDO预处理 $pdo = new PDO("mysql:host=localhost;dbname=test","user","pwd"); $sql = "insert into user(name,age) values(?,?)"; // ?号的方式 $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //PDO有一项参数...
PHP代码审计:SQL注入漏洞分析
"这篇教程主要介绍了PHP代码审计SQL注入问题,包括普通注入和宽字节注入的案例分析,以及涉及的函数如str_replace、stripslashes和addslashes在SQL注入的作用。" 在Web开发SQL注入是一种常见的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值