php prepare

最新推荐文章于 2023-08-17 16:44:26 发布
最新推荐文章于 2023-08-17 16:44:26 发布
阅读量509 收藏 2
点赞数 1
文章标签: php 数据库 网络
原文链接:http://www.cnblogs.com/taek/p/9849516.html
版权

详见 https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection/12202218#12202218

php pdo prepare真的能防止sql injection吗, 这里

php使用pdo 连接mysql , 会使用prepare预处理, 也就是将 除去具体查询值的SQL语句先送给mysql, 然后再把值发送给mysql, 能够避免sql注入

pdo  有一个属性 PDO::ATTR_EMULATE_PREPARES, 为true, 即为php本地 模拟这个prepare, 其时什么也没做,execute时把完整sql 发送给sql, 这时如果是gbk,很容易SQL注入

为false时,先把预处理发送给mysql, execute时, 再把值发送给mysql

 

当 PDO::ATTR_EMULATE_PREPARES 为 true时

 

当PDO::ATTR_EMULATE_PREPARES 为 false时

先发送 select * from table_uid_1 where k = ?

 

再发送103489 这个查询值

 

如果加上limit

public  function list() {
    $sql = "select * from " . $this->table . "_1 where k = :id limit :limit";
    $result = $this->pdo->prepare($sql);
    $id = 103489;
    $result->bindParam(':id', $id);
    $result->bindValue(':limit', 0);
    $result->execute();
    $list = $result->fetchAll(\PDO::FETCH_ASSOC);
    return $list;
}

 

当 PDO::ATTR_EMULATE_PREPARES 为 true时, sql报错

执行的语句是 select * from table_uid_1 where k = '103489' limit '0'

解决方法是 bindValue时, 标注下类型, 即

 

public  function list() {
    $sql = "select * from " . $this->table . "_1 where k = :id limit :limit";
    $result = $this->pdo->prepare($sql);
    $id = 103489;
    $result->bindParam(':id', $id);
    $result->bindValue(':limit', 0, \PDO::PARAM_INT);
    $result->execute();
    $list = $result->fetchAll(\PDO::FETCH_ASSOC);
    return $list;
}

 

或者 设置 PDO::ATTR_EMULATE_PREPARES 为 false

 

传递 值

 

 tcpdump抓取数据

  tcpdump tcp port 3318 -w /tmp/target.ca

wireshark 分析tcpdump出来的包 分析 

过滤条件:

在wireshark的过滤条件里输入tcp.port==3306 && mysql,然后回车,这样就能只显示mysql类型的包。

 

转载于:https://www.cnblogs.com/taek/p/9849516.html

weixin_30725315
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php的prepare方法,PHP之PDO-prepare
weixin_42131342的博客
03-23 1167
当同一个SQL多次查询(执行)时,只是每次的查询条件(数据)不一样,那么,使用prepare就对了.它可大大减少查询(执行)时间,服务器资源消耗..原型:PDOStatement PDO::prepare(string query [, array driver_options])占位符:1,有名占位符(:named parameters)2,问号占位符(?)如:INSERTINTOprodu...
php里面的prepare,php5中mysqli的prepare语句的使用说明
weixin_29817925的博客
03-17 435
php5中有了mysqli对prepare的支持,对于大访问量的网站是很有好处的,极大地降低了系统开销,而且保证了创建查询的稳定性和安全性。prepare准备语句分为绑定参数和绑定结果,接下来具体介绍。(1)绑定参数复制代码 代码如下://创建连接$mysqli=new mysqli("localhost","root","","volunteer");//检查连接是否被创建if (mysqli_...
PHP中的prepare准备语句的意义
dianai7709的博客
05-22 300
mysqli和PDO扩展都有prepare这个语法,刚开始以为只是单纯的语法,没想到,还是有实际意义的:   “每次发送查询语句给MySQL服务时,都必须解析该查询的语法,确保结构正确并能够执行。这是这个过程中必要的步骤,但也确实带来了一些开销。做一次是必要的,但是如果反复地执行相同的查询,批量插入多行时只改变列值会怎么样呢?准备语句会在服务器上缓存查询的语法和执行过程,而只在服务器和...
php mysql prepare_PHP5 mysqli的prepare准备语句使用说明
weixin_29349409的博客
01-19 175
mysqli对prepare的支持对于大访问量的网站是很有好处的,它极大地降低了系统开销,而且保证了创建查询的稳定性和安全性。prepare准备语句分为绑定参数和绑定结果,下面将会一一介绍!(1)绑定参数看下面php代码://创建连接$mysqli=new mysqli("localhost","root","","volunteer");//检查连接是否被创建if (mysqli_connect...
php连接数据库之预处理(prepare)
xiaoxujie2007_的专栏
07-11 4457
http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> http://www.w3.org/1999/xhtml"> prestatement class ConnectSqlite {  public $db;    public function ConnectSqlite()  {   $thi
PHP5 mysqli的prepare准备语句使用说明
09-10
PHP5中的mysqli扩展提供了一种高效且安全的方式来处理SQL查询,特别是对于高流量的网站,它的prepare准备语句功能显得尤为重要。prepare准备语句的主要优点在于它可以减少系统资源的消耗,提升性能,同时通过预编译...
PHP安全1
08-08
- 分离数据和SQL逻辑,使用参数化的查询,如`PDO`的`prepare()`和`execute()`方法。 3. **代码注入**: - 代码注入通常发生在不当的文件包含操作中,如`require()`、`include()`。 - 防止代码注入的关键是避免...
php-sqlsrv 驱动php7.1 - php7.4
最新发布
11-16
2. 执行SQL查询:使用sqlsrv_query或sqlsrv_prepare函数执行SQL语句,例如: ```php $sql = "SELECT * FROM TableName"; $stmt = sqlsrv_query($conn, $sql); ``` 3. 处理结果集:通过sqlsrv_fetch_array或...
php-database
03-29
为了防止SQL注入攻击,应使用预处理语句,如PDO的`prepare()`和`execute()`,或MySQLi的`prepare()`和`bind_param()`。 数据库操作还包括插入、更新和删除数据。例如,`INSERT INTO`语句用于添加新记录,`UPDATE`...
PHP_SQL
03-31
PHP提供预处理语句(如`mysqli_prepare()`和`PDOStatement::prepare()`)来安全地绑定参数,避免恶意SQL代码被执行。预处理语句将SQL命令和用户数据分开处理,确保了数据的隔离性。 六、PHP事务处理 在处理需要一致...
php mysqli 使用prepare
天下无双
01-28 5128
   1,绑定参数   $mysqli=new mysqli($host,$user,$pass,$db);      if(mysqli_connect_errno()){       echo 连接出现异常了:.mysqli_connect_error();       exit(0);  }             $sql = insert into user(name,
prepare的用法 php,PHP中的操作mysqli的预处理prepare
weixin_33209042的博客
03-11 1306
这篇文章主要介绍了关于PHP中的操作mysqli的预处理prepare ,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下PHP中的操作mysqli的预处理prepare1、【PHP错误】Cannot pass parameter 2 by reference这个错误的意思是不能按引用传递第2个参数出现这个错误的原因是bind_param()方法里的除表示数据类型的第一个参数外,均需要...
php的prepare,PHP: mysqli::prepare - Manual
weixin_29866423的博客
03-10 80
I wrote this function for my personal use and figured I would share it. I am not sure if this is the appropriate forum but I wish I had this when I stumbled on to mysqli::prepare. The function is an...
php的prepare方法,php连接数据库之预处理(prepare)
weixin_33543395的博客
03-23 594
prestatementclass ConnectSqlite{public $db;public function ConnectSqlite(){$this->db=new PDO('sqlite:D:/WWW/jqm/demos/db/serverdatabase');}function initStatement($sql){$state=$this->db->prepa...
php PDO、预编译、预处理语句prepare
qq_61975388的博客
08-17 311
php POD PHP PDO 是什么? php数据对象扩展为了php访问数据库定义了一个轻量级的一致接口,PDO提供了一个数据访问抽象层,都可以用相同的方法来查询修改数据库。 预编译 是什么? 预编译是做些代码文本的替换工作。 处理以# 开头的指令 , 比如拷贝 #include 包含的文件代码,#define 宏定义的替换 , 条件编译等,就是为编译做的预备工作的阶段。 主要处理#开始的预编译指令,预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 C 编译系
PHP PDO prepare()、execute()和bindParam()方法详解
deng1228的博客
02-24 204
每次将查询发送给MySql服务器时,都必须解析该查询的语法,确保结构正确并能够执行。这是这个过程的必要步骤,但也确实带来了一些开销。做一次是必要的,但如果反复地执行相同的查询,批量插入多行并只改变列值时会怎么样呢?预处理语句会在服务器上缓存查询的语法和执行过程,而只在服务器和客户端之间传输有变化的列值,以此来消除这些额外的开销。PDO为支持此特性的数据库提供了预处理语句功能。因为MyS...
(转载)prepare函数的学习,我要学习php第二天
weixin_30725315的博客
07-18 173
(转载)http://www.boyuan78.com/htm/company/2012_1030_60.html prepare函数的学习,我要学习php第二天 $mysqli = new mysqli("localhost", "mysql_user", "mysql_pwd", "demo"); //连接MySQL数据库 if (mysqli_connect_errno()...
php mysql prepare_mysql PDO::prepare用法详解
weixin_30569303的博客
01-19 379
PDO::prepare — 准备要执行的SQL语句并返回一个 PDOStatement 对象(PHP 5 >= 5.1.0, PECL pdo >= 0.1.0)说明语法public PDOStatement PDO::prepare ( string $statement [, array $driver_options = array() ] )为 PDOStatement::e...
php sqlsrv_prepare函数用法
04-19
php sqlsrv_prepare函数用于准备要执行的 SQL 查询或存储过程。它会将参数绑定到查询或存储过程中的占位符,并返回一个准备好被执行的语句句柄。具体使用方法可以参考 PHP 官方文档或者其他相关技术文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值